Bitcoin Ransomware Canggih Berkembang, Critroni dan TOR
Sangat maju Bitcoin-berdasarkan ransomware trojan ditemui oleh pakar keselamatan bulan lalu. Ini adalah perisian hasad pertama yang digunakan Rangkaian TOR untuk berkomunikasi secara anonim dengan pelayan arahan dan kawalan pusat.
Ransomware adalah sejenis malware yang cenderung menghalang akses ke sistem komputer tertentu yang dijangkiti. Ia menuntut pengguna komputer untuk membayar tebusan kepada pengendali penipuan tersebut agar sekatan itu hilang. Banyak trojan ransomware cuba menipu pengguna agar membayar “denda” dengan mengaku sebagai perisian yang diarahkan oleh pihak berkuasa undang-undang, dengan menuduh orang-orang memiliki kepemilikan pornografi kanak-kanak atau memuat turun kandungan cetak rompak.
Perisian jahat lain dari keluarga ransomware mencari komputer untuk fail yang disimpan oleh pengguna, seperti foto atau dokumen, kemudian menggunakan kriptografi untuk menyulitkannya sehingga mereka tidak lagi dapat diakses oleh orang yang menggunakan mesin yang dijangkiti. Ini adalah taktik yang serupa dengan yang digunakan Cryptolocker, trojan ransomware yang mencapai puncaknya tahun lalu. Pengendali Cryptolocker berjaya mengumpulkan Bitcoin bernilai jutaan dolar sebelum FBI berjaya mematikan operasi jenayah tersebut dengan menyekat pelayan perintah-dan-kawalan yang Cryptolocker gunakan Kembali pada Mei 2014.
Contents
Dalam dekad terakhir, industri jenayah ransomware telah menyaksikan pertumbuhan yang besar. Dari penyekat skrin sederhana yang memerlukan pembayaran untuk pergi, hingga perisian jahat menggunakan teknologi canggih untuk memaksa orang membayar tebusan mereka. Ransomware kini mencapai puncaknya, dengan trojan zaman baru menggunakan apa yang disebut enkripsi. Program yang akan menyulitkan fail pengguna dan menuntut pembayaran agar penyumbatan fail hilang dan fail untuk didekripsi. Beberapa contoh trojan seperti itu adalah CryptoLocker, CryptoDefence, CryptoWall, ACCDFISA, dan GpCode tetapi juga banyak perisian asas serupa yang kurang dikenali yang telah tersebar di seluruh Rusia. Trojan yang baru ditemui, Critroni, dihidupkan pada pertengahan Jun 2014. Sejak itu diiklankan di berbagai forum bawah tanah. Ia digambarkan sebagai generasi baru ransomware Bitcoin, dan tidak serupa dengan nenek moyangnya. Telah diketahui bahawa perisian hasad baru yang disebut menggunakan teknik yang tidak pernah digunakan sebelumnya oleh perisian hasad lain.
Salah satu ciri uniknya ialah Critroni menggunakan rangkaian TOR tanpa nama untuk berkomunikasi dengan pelayan perintahnya tanpa nama. Komputer yang dijangkiti olehnya sebenarnya berkomunikasi dengan pelayan perintah pusat ransomware melalui TOR. Dengan cara ini dapat menghantar kunci yang disimpan di pelayan setelah wang tebusan dibayar, dan kunci ini adalah satu-satunya peluang pengguna mesin yang dijangkiti dapat menyahsulit fail mereka.
Critroni (juga dikenali sebagai CTB-Locker) mungkin bukan malware pertama yang menggunakan TOR untuk menyembunyikan akarnya, tetapi ini tentunya pertama kali kita melihat ransomware melakukannya. Namun, itu bukan kelebihan terbesar yang dimiliki Critroni. Critroni juga merupakan malware pertama yang menggunakan kod TOR yang disematkan secara langsung di dalam failnya sendiri daripada bergantung pada perisian bundle TOR yang sah untuk mencapai komunikasi.
Critroni juga menggunakan salah satu skema penyulitan yang paling aneh, namun berkesan, bahkan ransomware telah digunakan untuk menyekat akses pengguna ke fail. Data dimampatkan terlebih dahulu menggunakan algoritma penyulitan ECDH (Elliptic Curve Diffie-Hellman). Berbeza dengan kombinasi algoritma yang paling biasa digunakan di antara ransomware AES dan RSA, ECDH tidak akan membiarkan data pengguna didekripsi walaupun hubungan antara komunikasi virus dengan pelayan perintah dihentikan. Dengan cara ini secara praktikal membuat pembayaran (biasanya hingga) 0,4 tebusan Bitcoin satu-satunya cara bagi pengguna untuk memulihkan fail yang disulitkan.
Bagaimana penyebaran ransomware Bitcoin ini
Dalam versi awal, kritikan akan menyasarkan pengguna berbahasa Inggeris. Oleh itu bahasa Inggeris adalah satu-satunya bahasa dalam program ini. Dalam beberapa versi kemudian, bahasa Rusia juga mula disokong di sebelah bahasa Inggeris. Kemas kini baru juga membawa pemasa undur ke GUI. Dengan cara ini memberi pengguna peringatan masa dalam usaha menakut-nakutkan mereka.
Gambar di bawah secara kasar menggambarkan bagaimana perisian jahat itu memasang dan menyebarkannya sendiri. Pertama, bot Andromeda memuat turun dan menjalankan alat bernama Joleee. Alat jahat ini dapat menghantar e-mel spam dan juga untuk melaksanakan perintah yang diterima dari penjenayah siber. Jolee yang memuatkan enkripsi ke komputer yang dijangkiti.
Skema penyebaran Critroni (Gambar dari securelist.com securelist.com)
Pembayaran dan TOR Bitcoin
Tidak sukar untuk diperhatikan bahawa pencipta virus ini berusaha keras untuk tidak dikenali. Mereka mempunyai alasan yang baik, dan itu bukan hanya kerana apa yang mereka lakukan dianggap sebagai kegiatan jenayah. Dengan menjadikan perisian mereka menggunakan rangkaian tanpa nama, mereka juga menyumbang kepada ransomware mereka yang mempunyai jangka hayat yang lebih lama. Seperti yang telah disebutkan sebelumnya, pada bulan Mei FBI berjaya mematikan perisian ransomware enkripsi yang disebut Cryptolocker. Mereka berjaya mengesan pelayan mereka dan mematikannya. Ini mungkin lebih sukar dengan kes Critroni kerana menerima perintah melalui TOR. Gabungan penyisipan TOR dan pembayaran Bitcoin, telah memungkinkannya untuk mengatasi anonimitas pendahulunya.
Malware akan cuba memberi petunjuk kepada pengguna tentang cara membeli bitcoin.
Cadangan mengenai cara tetap selamat, dan menyimpan Bitcoin anda
Mempunyai perisian keselamatan seperti antivirus yang diaktifkan dan dikemas kini sangat penting. Namun itu bukan penyelesaian akhir.
Cara terbaik untuk memastikan fail anda selamat adalah dengan membuat sandaran anda sendiri, dan ransomware bukan satu-satunya sebab anda harus melakukannya. Anda tidak boleh menyimpan fail yang penting bagi anda hanya di satu tempat. Kemungkinan besar fail peribadi yang penting tidak mengambil bahagian besar dari cakera keras anda. Membuat sandaran luar talian, ke pemacu luaran atau tongkat usb, tidak sukar dan merupakan kaedah yang boleh dipercayai untuk membuat sandaran selamat. Yang harus anda ingat semasa membuat sandaran adalah bahawa peranti storan tidak boleh disambungkan secara langsung ke internet. Sama ada USB, cakera keras luaran atau cakera liut, jika sentiasa disambungkan ke komputer peribadi anda dengan akses internet akan menjadikannya rentan terhadap ransomware penyulitan seperti simpanan cakera keras utama anda. Penyimpanan dalam talian juga baik, tetapi tidak ada yang dapat menjamin keberadaannya dalam jangka panjang.
Di luar itu, sementara ransomware ini menyulitkan fail dengan cara yang berniat jahat, adalah idea yang baik untuk mengenkripsi fail sensitif, atau berharga, seperti dompet Bitcoin. Ini akan menjadikan lebih sukar bagi perisian hasad, atau penggodam, untuk berjaya mencuri fail anda dengan cara yang boleh digunakan.
