15 49.0138 8.38624 1 0 4000 1 https://harowo.com 300 0
theme-sticky-logo-alt
theme-logo-alt

Новият биткойн рансъмуер, CTB Locker, използва мрежа Tor, за да остане анонимен

Налице е нов файл за криптиране на биткойн рансъмуер, наречен CTB Locker (Curve-To-Bitcoin Locker, или Critroni), и той използва Tor за предаване на данни и да остане анонимен. Експертите казват, че това е един от най-напредналите, които някога са виждали, и е насочен към компютри с Windows XP, Vista, 7 и 8. Вероятно няма да знаете, че сте били заразени, докато файловете ви вече не са криптирани.

Според Kaspersky блог пост написано от старши анализатор на зловреден софтуер Федор Синицин:

„Използвайки TOR, престъпниците затрудняват проследяването на тяхната дейност и изземването на сървъри за контрол на зловреден софтуер. Използването на биткойни, анонимна криптовалута, като изключителна опция за плащане, също прави проследяването на паричния комплекс. Какво означава това за обикновените потребители? Престъпниците вероятно ще могат да използват този зловреден софтуер за дълго време. Освен това зловредният софтуер се продава на подземни форуми и привлича международно внимание. Ето защо очакваме допълнителни инфекции в други региони, особено в САЩ, Великобритания и други, които се оказаха добри „пазари“ за рансъмуер. “

CTB шкафче 1

Въпреки че е подобен по функция на CryptoLocker (който беше наскоро изключване чрез междуправителствени усилия), се казва, че CTB Locker се управлява от друга група, използвайки изключително модерна нова технология, известна като криптография с елиптична крива. Зловредният софтуер комуникира със своя контролен сървър чрез Tor, вместо чрез обикновения интернет, което прави още по-трудно проследяването на правоприлагащите органи, както се прави с CryptoLocker.

CTB Locker се открива от Kaspersky като Trojan-Ransom.Win32.Onion и се разпространява от ботнета Andromeda и злонамерен червей от семейство Joleee, който изтегля и изпълнява рансъмуера CTB Locker. Зловредният софтуер се разпространява чрез уеб страници с експлойт комплекти, предназначени да инициират изтегляния на компютъра на жертвата.

Веднъж заразен с CTB Locker, зловредният софтуер сканира компютъра ви за важни документи, снимки, бази данни и други файлове, премества и компресира файловете във временен файл, след което ги криптира с нечуплива криптография Diffie-Hellman Elliptic Curve.

След това се показва прозорец, който ви информира, че вашите файлове са криптирани и че трябва да платите откуп между 0,2 и 0,5 биткойни, за да ги възстановите. Откупът трябва да бъде изпълнен в рамките на 72 часа, или рискувате файловете да бъдат постоянно заключени. Програмистите за изкупване бяха достатъчно любезни, за да го програмират, за да настроят фона на работния плот на изображение с инструкции как да платят откупа и да възстановят файлове.

След като откупът бъде платен, се изпраща ключ, който може да се използва за дешифриране на вашите файлове, но няма достатъчно данни, за да се определи дали киберпрестъпниците действително издържат края на сделката и ви позволяват да дешифрирате вашите файлове.

Един аспект на зловредния софтуер CTB Locker, който го прави толкова уникален, е, че той комуникира със своя сървър за командване и управление през мрежата Tor, без жертвата да е инсталирала Tor. Програмистите на CTB Locker успяха да внедрят част от отворения код на Tor в своя зловреден софтуер, позволявайки му да комуникира без действително инсталиран Tor Browser Bundle.

„Целият код, необходим за осъществяване на взаимодействие с мрежата за анонимност, е статично свързан с изпълнимия файл на злонамерената програма (т.е. е внедрен като част от злонамерения код) и се стартира в отделна нишка“, каза Синицин.

Киберпрестъпниците дори създадоха свой собствен сайт onion, за да обработват откупи.

Синицин продължи:

Анализираната проба има един статичен адрес на команден сървър, който принадлежи към домейн зоната .onion.

Струва си да се отбележи, че това само по себе си не е „иновативно“. Виждали сме подобни договорености и при други видове зловреден софтуер (обсъдени например тук и тук).

Това обаче е нова разработка за рансъмуер. Въпреки че някои от откупените троянски коне от семейства, открити по-рано, изискват жертвата да посети определен сайт в мрежата Tor, разгледаният тук зловреден софтуер поддържа пълно взаимодействие с Tor без приноса на жертвата, отделяйки го от останалите.

За съжаление понастоящем има малко възможности за възстановяване. В подробно ръководство за това как най-добре да се предпазите от CTB Locker, BleepingComputer.com пише, „Единствените методи за възстановяване на вашите файлове са от архивиране, инструменти за възстановяване на файлове или ако имате късмет от Shadow Volume Copies.“ Може да се намери друго ръководство за премахване тук в блога на VilmaTech.

Според BleepingComputer, този конкретен зловреден софтуер също се продава онлайн за $ 3000 USD като част от хакерски комплект, който дори включва поддръжка, за да помогне на зловредния софтуер да работи и работи.

Според BleepingComputer може да се използва следният метод, за да се предотврати заразяването на компютъра на CTB Locker:

Можете да използвате Windows Group или Local Policy Editor, за да създадете политики за ограничаване на софтуера, които блокират изпълнението на изпълними файлове, когато се намират в определени пътища. За повече информация как да конфигурирате политики за ограничаване на софтуера, моля, вижте тези статии от MS:

http://support.microsoft.com/kb/310791

http://technet.microsoft.com/en-us/library/cc786941(v=ws.10).aspx

Файловите пътища, използвани от тази инфекция и други, са:

C: \. Exe

C: Users \ AppDataLocal.exe (Vista / 7/8)

C: Users \ AppDataLocal.exe (Vista / 7/8)

C: Документи и настройки \ Application Data.exe (XP)

C: Документи и настройки \ Local Application Data.exe (XP)

% Темп%

За да блокирате CTB Locker, искате да създадете Правила на пътя, така че да нямат право да изпълняват. За да създадете тези политики за ограничаване на софтуера, можете да използвате инструмента CryptoPrevent или да добавите правилата ръчно. И двата метода са описани по-долу.

Previous Post
Guia do software SoftGamings
Next Post
Федералният резерв на Бостън публикува статии за биткойни