W ubiegłym tygodniu byliśmy świadkami pojawienia się nowego ransomware szyfrującego dane na komputerze. I nie byłoby nic w tym dziwnego, gdyby nie fakt, że wirus znany w nomenklaturze Microsoftu jako Critroni.A szyfruje pliki na komputerze i maskuje swoje połączenie z serwerem C&C dzięki anonimowej*** (już niedługo?) sieci Tor.
Zarówno dziś jak i dawniej, ransomware był wykorzystywany do wymuszania okupu od użytkownika, któremu szkodnik podmieniał proces explorer.exe wyświetlając komunikat o rzekomym rozprzestrzenianiu nielegalnych bądź pornograficznych treści. Komunikat straszył policją i wymuszał zapłacenie haraczu w zamian za odblokowanie komputera.
Obecnie ransomware (ang. ransom – okup) jest bardziej wyrafinowane i dodatkowo szyfruje pliki, których rodzaj rozszerzenia często zależy od samych autorów wirusa. W zeszłym tygodniu odkryto dodatkowe funkcjonalności wirusa i metody obrony malware przed usunięciem i wykryciem.
Critroni.A znany pod nazwą Cirtroni lub Onion umożliwia cyberprzestępcy wybranie jakiego rodzaju pliki chce szyfrować i pozwala na wybranie metody płatności – Bitcoiny lub PayPal.
Jednym z wektorów infekcji jest spam. Po otwarciu załącznika, zawarty w nim Andromeda bot (malware służące do dystrybucji ransomware) ściąga niezauważalnie na dysk użytkownika Cirtroni, który w następstwie szyfruje pliki kluczem 2048 bitowym, maskuje wymianę szyfrujących kluczy z serwerem C&C za pomocą protokołu Diffiego-Hellmana oraz dodatkowo utrudnia wykrycie ustanowionego połączenia malware z C&C dzięki sieci TOR. W ten sposób, wykorzystanie (podobno) anonimowej sieci Tor wznosi ransomware na kolejny stopień skomplikowania neutralizacji zagrożenia.
***To tyle jeśli chodzi o Ransomware. Ale co z tym TORem?
Jak informuje SkyNews, Rosja oferuje każdemu kto złamie metody anonimowości sieci TOR cztery miliony rubli (£ 65,000 ~ 342 000 PLN). Konkurs jest otwarty dla cudzoziemców, jednak każdy uczestnik musi zapłacić 195 tysięcy rubli (£ 3,270).
Znana przeglądarka Tor Browser zapewniająca pełną anonimowość w sieci, łączy w Rosji ponad 200 000 użytkowników, co jest wyraźnie nie po myśli tamtejszej władzy. Underground’oych stron internetowych nie można znaleźć poprzez znane wyszukiwarki jak google czy yahoo, a dane przesyłane przez Tora są prawie nie do wyśledzenia (podobno Tor już dawno nie jest anonimowy).
źródło: SkyNews, Microsoft, własne
