洗練されたビットコインランサムウェアの進化、Critroni、TOR

非常に高度な ビットコイン-ベース ランサムウェア トロイの木馬は先月、セキュリティの専門家によって発見されました。これは、この種のマルウェアとして最初に使用されたものです TORネットワーク 中央のコマンドアンドコントロールサーバーと匿名で通信する.

ランサムウェアは、感染したコンピューターの特定のシステムへのアクセスをブロックする傾向があるマルウェアの一種です。制限を解除するために、コンピューターのユーザーは詐欺のオペレーターに身代金を支払う必要があります。多くのランサムウェアトロイの木馬は、法務当局によって指示されたソフトウェアであると主張したり、児童ポルノの所持を誤って非難したり、海賊版コンテンツをダウンロードしたりすることで、ユーザーをだまして「罰金」を支払わせようとします。.

ランサムウェアファミリーの他の悪意のあるユーザーは、写真やドキュメントなど、ユーザーが保存したファイルをコンピューターで検索し、暗号化を使用して暗号化して、感染したマシンを使用しているユーザーがアクセスできないようにします。これは、昨年ピークに達したランサムウェア型トロイの木馬であるCryptolockerが使用していたものと同様の戦術です。 Cryptolockerのオペレーターは、FBIが2014年5月にCryptolockerが使用していたコマンドアンドコントロールサーバーを破壊することで犯罪作戦を停止する前に、何百万ドル相当のビットコインを収集することができました。. 

ビットコインを要求する「Critroni」は、これまでに見た中で最も高度なランサムウェアの専門家です

過去10年間で、ランサムウェアの犯罪業界は大幅な成長を遂げました。支払いを必要とする単純なスクリーンブロッカーから、高度なテクノロジーを使用して人々に身代金の支払いを強制するバッドウェアまで。ランサムウェアは現在ピークに達しており、ニューエイジのトロイの木馬はいわゆる暗号化ツールを使用しています。ユーザーファイルを暗号化し、ファイルのブロックを解消し、ファイルを復号化するための支払いを要求するプログラム。このようなトロイの木馬の例としては、CryptoLocker、CryptoDefence、CryptoWall、ACCDFISA、GpCodeなどがありますが、ロシア中に広まった、あまり知られていない同様の基本的なソフトウェアも数多くあります。新たに発見されたトロイの木馬、Critroniは、2014年6月中旬に誕生しました。その後、さまざまな地下フォーラムで宣伝されています。これは新世代のビットコインランサムウェアとして説明されており、その祖先のいずれとも似ていません。と呼ばれる新しいマルウェアは、他のマルウェアではこれまで使用されたことのない手法を使用していることが知られています.

独自の機能の1つは、Critroniが匿名のTORネットワークを使用してコマンドサーバーと匿名で通信することです。実際、感染したコンピュータは、TORを介してランサムウェアの中央コマンドサーバーと通信しています。このようにして、ビットコインの身代金が支払われた後にサーバーに保存されているキーを送信できるようになります。このキーは、感染したマシンのユーザーがファイルを復号化できる唯一の機会です。.

Critroni(CTB-Lockerとも呼ばれます)は、TORを使用してルートを隠す最初のマルウェアではない可能性がありますが、ランサムウェアがそれを行うのは確かに初めてです。しかし、それはクリトロニが持つ最大の利点ではありません。 Critroniは、通信を行うために正規のTORバンドルソフトウェアに依存するのではなく、独自のファイルに直接埋め込まれたTORコードを使用する最初のマルウェアでもあります。. 

Critroniはまた、ランサムウェアがファイルへのユーザーアクセスをブロックするために使用した、最も奇妙でありながら効果的な暗号化スキームの1つを使用しています。データは最初に暗号化アルゴリズムを使用して圧縮されます ECDH (楕円曲線ディフィーヘルマン)。ランサムウェアAESとRSAの間で最も一般的に使用されているアルゴリズムの組み合わせとは対照的に、ECDHでは、ウイルスの通信とコマンドサーバー間の接続が停止している場合でも、ユーザーデータを復号化できません。このようにして、ユーザーが暗号化されたファイルを復元する唯一の方法は、実質的に(通常は最大)0.4ビットコインの身代金を支払うことになります。.

このビットコインランサムウェアがどのように拡散するか

初期のバージョンでは、critroniは主に英語を話すユーザーを対象としていました。したがって、英語はプログラムの唯一の言語でした。それ以降のいくつかのバージョンでは、ロシア語も英語の次にサポートされるようになりました。新しいアップデートでは、GUIにカウントダウンタイマーも追加されました。このようにして、ユーザーを脅迫しようとして時間の警告をユーザーに与えます. 

以下の画像は、悪意のあるソフトウェアがどのようにインストールおよび伝播するかを大まかに示しています。まず、アンドロメダボットがJoleeeという名前のツールをダウンロードして実行します。この悪意のあるツールは、スパムメールを送信したり、サイバー犯罪者から受信したコマンドを実行したりする可能性があります。感染したコンピューターに暗号化ツールをダウンロードするのはJoleeです.

Critroniの伝播Critroniの伝播スキーム(画像 securelist.com securelist.com)

ビットコインの支払いとTOR

ウイルスの作成者が匿名を維持するために多大な努力を払っていることに気付くのは難しいことではありません。彼らには正当な理由があり、それは彼らがしていることが犯罪行為と見なされているという理由だけではありません。ソフトウェアに匿名ネットワークを使用させることで、ランサムウェアの寿命を延ばすことにも貢献しています。前に述べたように、5月に、FBIはCryptolockerと呼ばれる別の暗号化ランサムウェアをシャットダウンすることに成功しました。彼らはなんとかサーバーを追跡し、シャットダウンしました。 Critroniの場合、TORを介してコマンドを受信するため、これははるかに難しい可能性があります。 TOR埋め込みとビットコイン支払いのこの組み合わせにより、前任者の匿名性を上回ることができました。.

Critroniがビットコインについて説明しますマルウェアは、ビットコインの購入方法についてユーザーに指示を与えることさえ試みます.

安全を維持し、ビットコインを維持する方法に関する推奨事項

ウイルス対策ソフトウェアなどのセキュリティソフトウェアを有効にして更新することが重要な場合があります。ただし、これで終わりではありません。.

ファイルの安全性を確保する最善の方法は、独自のバックアップを作成することです。これを行う必要がある理由は、ランサムウェアだけではありません。重要なファイルを1か所だけに保存​​しないでください。重要な個人ファイルがハードドライブの大部分を占めていない可能性が高くなります。外付けドライブまたはUSBスティックへのオフラインバックアップの作成は難しくなく、安全なバックアップを作成するための信頼できる方法です。ただし、バックアップを作成する際に留意する必要があるのは、ストレージデバイスをインターネットに直接接続しないことです。 USB、外付けハードドライブ、フロッピーディスクのいずれであっても、インターネットにアクセスできるパソコンに常時接続していると、メインのハードドライブストレージと同じように暗号化ランサムウェアに対して脆弱になります。オンラインストレージも問題ありませんが、長期的な存在を保証することはできません。.

それを超えて、このランサムウェアは悪意のある方法でファイルを暗号化していますが、ビットコインウォレットなどの機密性の高い、または貴重なファイルを個人的に暗号化することは常に良い考えです。これにより、マルウェアやハッカーが、使用可能な方法でファイルを正常に盗むことがはるかに困難になります。.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me