Программа-вымогатель «Critroni», использующая Tor, может заменить Cryptolocker

22.07.2014 | 09:38 Экономика

Киберпреступники распространяют новую программу-вымогатель, шифрующую файлы, которая является более мощной и устойчивой, чем недавно нейтрализованный Департаментом юстиции США Cryptolocker.

Новая программа-вымогатель называется CTB-Locker (Curve-Tor-Bitcoin Locker), но защитная программа Microsoft определяет её как Critroni.A. Её создатель рекламирует программу другим киберпреступникам на русскоязычных форумах начиная с середины июня. Кажется, что он пытается исправить большинство ошибок Cryptolocker.

Critroni использует алгоритм шифрования файлов на основе криптографии на эллиптических кривых, который, по утверждению создателя программы, значительно быстрее, чем схемы шифрования, используемые другими программами-вымогателями. Это также делает расшифровку файлов невозможным без уплаты выкупа, если нет никаких недостатков реализации.

Как и Cryptolocker, Critroni генерирует пару ключей — открытый и закрытый для каждой зараженной системы. Открытый ключ хранится на зараженном компьютере и даётся жертве, которую затем просят заплатить выкуп в Bitcoin для восстановления файлов.

Закрытый ключ, который используется для расшифровки файлов, хранится на удаленном  командно-контрольном сервере, который в случае Critroni может быть доступен только по анонимной сети Tor. Это мера предосторожности, которую создатель использовал для того, чтобы затруднить правоохранительным органам и исследователям в области безопасности выявить и выключить сервер.

В начале июня Министерство юстиции вместе с правоохранительными органами из ряда других стран взяли под свой контроль ботнет Gameover Zeus, который распространял программу-вымогатель Cryptolocker. В ходе операции власти также захватили командно-контрольные серверы Cryptolocker.

«Cryptolocker должен общаться со своей инфраструктурой командования и управления, чтобы шифровать вновь зараженные компьютеры», сказал представитель министерства юстиции в суде штата Пенсильвания 11 июля. «На сегодняшний день согласно судебному запрету, все инфраструктуры Cryptolocker  находятся в автономном режиме, и тем самым Cryptolocker нейтрализован».

Чтобы не допустить подобного отключения, Critroni был разработан, чтобы выполнять операцию шифрования файлов локально, перед подключением к  командно-контрольному серверу. Это также делает его трудным для обнаружения и блокирования продуктами сетевой безопасности с помощью анализа трафика.

Блокировка трафика Tor только не позволит пользователю оплатить, но не нарушит функционирование программы, говорит автор Critroni в своей рекламе.

Новая программа-вымогатель изначально ориентирована на русскоязычных пользователей, но варианты, появившиеся в последнее время, также имеют сообщение с требованием выкупа на английском языке, что свидетельствует о том, что угроза теперь распространяется более широко, сказал независимый исследователь вредоносных программ, известный в Интернете как Kafeine. «Кажется, что это сильная, хорошо продуманная вредоносная программа».

Несмотря на успех Министерства Юстиции с Cryptolocker, не все исследователи в области безопасности считают, что угроза мертва. Заявление о том, что угроза была нейтрализована, необходимо тщательно изучить, потому что захват командно-контрольных серверов повлиял только на экземпляры Cryptolocker, распространяемые ботнетом Gameover Zeus, сказал Тайлер Моффит, исследователь безопасности из Webroot. «Множество образцов в настоящее время развернуты различными ботнетами, которые общаются с разными командно-контрольными серверами, не подверженными этому захвату».