Przyszłość Ransomware zależy od przyszłości sieci TOR (która jest niepewna)

W ubiegłym tygodniu byliśmy świadkami pojawienia się nowego ransomware szyfrującego dane na komputerze. I nie byłoby nic w tym dziwnego, gdyby nie fakt, że wirus znany w nomenklaturze Microsoftu jako Critroni.A szyfruje pliki na komputerze i maskuje swoje połączenie z serwerem C&C dzięki anonimowej*** (już niedługo?) sieci Tor. 

Zarówno dziś jak i dawniej, ransomware był wykorzystywany do wymuszania okupu od użytkownika, któremu szkodnik podmieniał proces explorer.exe wyświetlając komunikat o rzekomym rozprzestrzenianiu nielegalnych bądź pornograficznych treści. Komunikat straszył policją i wymuszał zapłacenie haraczu w zamian za odblokowanie komputera. 

Obecnie ransomware (ang. ransom - okup) jest bardziej wyrafinowane i dodatkowo szyfruje pliki, których rodzaj rozszerzenia często zależy od samych autorów wirusa. W zeszłym tygodniu odkryto dodatkowe funkcjonalności wirusa i metody obrony malware przed usunięciem i wykryciem.

Critroni.A znany pod nazwą Cirtroni lub Onion umożliwia cyberprzestępcy wybranie jakiego rodzaju pliki chce szyfrować i pozwala na wybranie metody płatności - Bitcoiny lub PayPal.

Jednym z wektorów infekcji jest spam. Po otwarciu załącznika, zawarty w nim Andromeda bot (malware służące do dystrybucji ransomware) ściąga niezauważalnie na dysk użytkownika Cirtroni, który w następstwie szyfruje pliki kluczem 2048 bitowym, maskuje wymianę szyfrujących kluczy z serwerem C&C za pomocą protokołu Diffiego-Hellmana oraz dodatkowo utrudnia wykrycie ustanowionego połączenia malware z C&C dzięki sieci TOR. W ten sposób, wykorzystanie (podobno) anonimowej sieci Tor wznosi ransomware na kolejny stopień skomplikowania neutralizacji zagrożenia.

***To tyle jeśli chodzi o Ransomware. Ale co z tym TORem?

Jak informuje SkyNews, Rosja oferuje każdemu kto złamie metody anonimowości sieci TOR cztery miliony rubli (£ 65,000 ~ 342 000 PLN). Konkurs jest otwarty dla cudzoziemców, jednak każdy uczestnik musi zapłacić 195 tysięcy rubli (£ 3,270). 

Znana przeglądarka Tor Browser zapewniająca pełną anonimowość w sieci, łączy w Rosji ponad 200 000 użytkowników, co jest wyraźnie nie po myśli tamtejszej władzy. Underground'oych stron internetowych nie można znaleźć poprzez znane wyszukiwarki jak google czy yahoo, a dane przesyłane przez Tora są prawie nie do wyśledzenia (podobno Tor już dawno nie jest anonimowy).

źródło: SkyNews, Microsoft, własne



Learn more about our offer

If you sell security solutions, are a distributor, authorized partner or developer and would like to share your portfolio with a group of potential customers, advertise an event, software, hardware or other services on AVLab - simply write to us. Or maybe you had to deal with ransomware? We can also help you decrypt your files.
Read more

We use Google Cloud Translation and Gengo API’s to translate articles with exception of our comparative tests.