Izsmalcināta Bitcoin Ransomware attīstās, Critroni un TOR
Ļoti progresīvs Bitcoin-pamatojoties ransomware Trojas zirgu pagājušajā mēnesī atklāja drošības eksperti. Tā ir pirmā šāda veida ļaunprātīga programmatūra, kuru izmanto TOR tīkls anonīmi sazināties ar centrālo komandu un vadības serveri.
Ransomware ir sava veida ļaunprātīga programmatūra, kurai ir tendence bloķēt piekļuvi noteiktām tā inficētā datora sistēmām. Tas pieprasa datora lietotājam samaksāt izpirkuma rīkotāja izpirkuma maksu, lai ierobežojumi atceltu. Daudzi ransomware Trojas zirgi mēģina maldināt lietotājus maksāt “naudas sodu”, apgalvojot, ka viņi ir likumdošanas iestāžu vadīta programmatūra, nepatiesi apsūdzot cilvēkus par bērnu pornogrāfijas glabāšanu vai pirātiska satura lejupielādi..
Cita izpirkumprogrammatūru saimes ļaunprogrammatūra meklē datoros lietotāju saglabātos failus, piemēram, fotoattēlus vai dokumentus, pēc tam izmanto kriptogrāfiju, lai tos šifrētu, lai persona, kurai ir inficētā mašīna, vairs nevarētu tiem piekļūt. Šī ir līdzīga taktika, ko izmantoja Cryptolocker, ransomware Trojan, kas pagājušajā gadā sasniedza maksimumu. Cryptolocker operatoriem izdevās savākt miljoniem dolāru dolāru vērtībā, pirms FIB izdevās apturēt noziedzīgo darbību, iznīcinot komandu un vadības serverus, kurus Cryptolocker izmantoja 2014. gada maijā..
Contents
Bitcoin prasīgākais “Critroni” ir vismodernākais ransomware eksperts, ko līdz šim redzējuši
Pēdējās desmitgades laikā noziedzīgo nozaru noziegumu industrija ir ievērojami pieaugusi. Sākot no vienkāršiem ekrāna bloķētājiem, kuru novēršanai nepieciešams maksājums, līdz ļaunprātīgai programmatūrai, izmantojot progresīvas tehnoloģijas, lai piespiestu cilvēkus maksāt izpirkuma maksu. Ransomware tagad sasniedz savu maksimumu, jo jaunā vecuma Trojas zirgi izmanto tā sauktos šifrētājus. Programmas, kas šifrētu lietotāju failus un pieprasītu samaksu par failu bloķēšanas pazušanu un failu atšifrēšanu. Daži šādu trojas zirgu piemēri ir CryptoLocker, CryptoDefence, CryptoWall, ACCDFISA un GpCode, kā arī daudzas citas mazāk zināmas līdzīgas pamata programmatūras, kas bija izplatījušās visā Krievijā. Nesen atklātais Trojas zirgs Critroni tika atdzīvināts 2014. gada jūnija vidū. Kopš tā laika tas ir reklamēts dažādos pazemes forumos. Tas tiek raksturots kā jaunās paaudzes Bitcoin izpirkuma programmatūra, un tas nav līdzīgs nevienam no tā senčiem. Ir zināms, ka jaunajā sauktajā ļaunprogrammatūrā tiek izmantoti paņēmieni, kurus nekad agrāk nav izmantojusi cita ļaunprātīga programmatūra.
Viena no tās unikālajām īpašībām ir tā, ka Critroni izmanto anonīmo TOR tīklu, lai anonīmi sazinātos ar savu komandu serveriem. Ar to inficētie datori faktiski sazinās ar izpirkumu programmatūras centrālo komandu serveri, izmantojot TOR. Tādējādi tas var nosūtīt serverī saglabātu atslēgu pēc tam, kad ir samaksāta Bitcoin izpirkuma maksa, un šī atslēga ir vienīgā iespēja inficēto mašīnu lietotājiem iegūt atšifrēt savus failus.
Critroni (pazīstams arī kā CTB-Locker), iespējams, nav pirmā ļaunprātīgā programmatūra, kas izmanto TOR, lai slēptu savas saknes, taču šī noteikti ir pirmā reize, kad to redzam redzam kā izpirkumprogrammatūru. Tomēr tā nav lielākā Kritroni priekšrocība. Critroni ir arī pirmā ļaunprogrammatūra, kas izmanto TOR kodu, kas iegults tieši savos failos, nevis paļaujas uz likumīgu TOR komplekta programmatūru sakaru nodrošināšanai.
Critroni izmanto arī vienu no visdīvainākajām, tomēr efektīvākajām šifrēšanas shēmām, kuru ransomware ir pat izmantojusi, lai bloķētu lietotāju piekļuvi failiem. Dati vispirms tiek saspiesti, izmantojot šifrēšanas algoritmu ECDH (Elipsveida līkne Diffie-Hellman). Atšķirībā no ransomware AES un RSA visbiežāk izmantotās algoritmu kombinācijas, ECDH neļaus atšifrēt lietotāju datus pat tad, ja savienojums starp vīrusa saziņu ar komandu serveri tiek pārtraukts. Tādā veidā praktiski padarot 0,4 Bitcoin izpirkuma maksu par vienīgo veidu, kā lietotājs var atjaunot šifrētos failus.
Kā šī Bitcoin ransomware izplatās
Sākotnējā versijā critroni galvenokārt būtu domāta lietotājiem, kuri runā angliski. Tāpēc angļu valoda bija vienīgā programma. Dažās vēlākās versijās blakus angļu valodai sāka atbalstīt arī krievu valodu. Jaunie atjauninājumi arī ienesa grafiskās saskarnes atpakaļskaitīšanas taimeri. Tādā veidā brīdinot lietotājus ar laiku, mēģinot viņus iebiedēt.
Zemāk redzamajā attēlā aptuveni attēlots, kā ļaunprātīgā programmatūra pati instalējas un izplatās. Pirmkārt, Andromeda bots lejupielādē un palaiž rīku ar nosaukumu Joleee. Šis ļaunprātīgais rīks var nosūtīt surogātpasta vēstules, kā arī izpildīt komandas, kas saņemtas no kibernoziedzniekiem. Jolee ir tā, kas ielādē šifrētāju inficētajā datorā.
Critroni izplatīšanās shēma (attēls no securelist.com securelist.com)
Bitcoin maksājumi un TOR
Nav grūti pamanīt, ka vīrusa radītāji pieliek daudz pūļu, lai paliktu anonīmi. Viņiem ir pamatots iemesls, un tas notiek ne tikai tāpēc, ka to, ko viņi dara, uzskata par noziedzīgu darbību. Liekot programmatūrai izmantot anonīmu tīklu, viņi arī veicina to, ka viņu izpirkuma programmatūrai ir ilgāks mūžs. Kā minēts iepriekš, FBI vēl maijā izdevās izslēgt vēl vienu šifrētāja izpirkuma programmatūru ar nosaukumu Cryptolocker. Viņiem izdevās izsekot saviem serveriem un tos izslēgt. Tas varētu būt daudz grūtāk ar Critroni lietu, jo tas saņem komandas caur TOR. Šī TOR iegulšanas un Bitcoin maksājumu kombinācija ļāva tai uzlabot priekšgājēju anonimitāti.
Ļaunprātīgā programmatūra pat mēģinās dot lietotājiem norādījumus par bitkoīnu iegādi.
Ieteikumi, kā saglabāt drošību un saglabāt savu Bitcoin
Drošības programmatūras, piemēram, antivīrusu iespējošana un atjaunināšana, var būt ļoti svarīgi. Tomēr tas nav līnijas beigu risinājums.
Labākais veids, kā nodrošināt failu drošību, ir pašiem izveidot dublējumkopijas, un ransomware nav vienīgais iemesls, kāpēc jums tas jādara. Nekad nevajadzētu jums svarīgu failu glabāt tikai vienā vietā. Visticamāk, ka svarīgi personiskie faili neaizņem lielu daļu no jūsu cietā diska. Bezsaistes dublējuma izveidošana ārējā diskā vai USB zibatmiņā nav grūta un ir uzticams veids, kā izveidot drošas dublējumkopijas. Tomēr, veicot dublējumus, jums vajadzētu paturēt prātā, ka glabāšanas ierīcei nevajadzētu būt tieši savienotai ar internetu. Neatkarīgi no tā, vai tas ir USB, ārējais cietais disks vai diskete, pastāvīgi savienojot to ar personālo datoru ar piekļuvi internetam, tas kļūs tikpat neaizsargāts pret šifrēšanas ransomware kā jūsu galvenā cietā diska krātuve. Arī tiešsaistes krātuve ir piemērota, taču neviens nevar garantēt tās ilgtermiņa pastāvēšanu.
Papildus tam, kamēr šī izpirkuma programmatūra failus šifrē ļaunprātīgā veidā, vienmēr ir ieteicams personīgi šifrēt visus jutīgos vai vērtīgos failus, piemēram, Bitcoin maku. Tas ļaunprātīgai programmatūrai vai hakeriem padarīs daudz grūtāku veiksmīgi nozagt failus tādā veidā, kas būtu lietojams.
![Dr8erx_WwAAdIX-[1]](https://racavedigger.com/wp-content/uploads/2021/02/dr8erx_wwaadix-1-1024x766-394x330.jpg)
![paypal-960x612px[1]](https://racavedigger.com/wp-content/uploads/2021/02/paypal-960x612px1-394x330.jpg)
![meet-yifu-guo-the-mand-behind-the-avalon-bitcoin-miners-3[1]](https://racavedigger.com/wp-content/uploads/2021/02/meet-yifu-guo-the-mand-behind-the-avalon-bitcoin-miners-31-394x330.jpg)