• Оптимизация
  • Социальные сети
  • Sitemap
  • Drupal
  • Usability
  • Юзабилити
  • B2b
  • Антивирус
  • Семантическое ядро
  • Новости
    • <

    «Лабораторія Касперського» визнала високу якість кріптолокера Critroni

    1. Командний сервер розташований в анонімній мережі Tor
    2. Незвичайна технічна організація доступу до мережі Tor
    3. Протокол Діффі-Хеллмана на еліптичній кривій

    Незалежні фахівці з інформаційної безпеки попереджали , Що з другої половини червня на підпільних форумах пропонується на продаж «кріптолокер нового покоління» CTB-Locker (Curve-Tor-Bitcoin Locker), який позначений в антивірусних базах як Critroni.A і Trojan-Ransom.Win32.Onion.

    Код Critroni виконаний на найвищому рівні. це визнали і аналітики «Лабораторії Касперського» , Які теж дуже зацікавилися цією програмою.

    Деякі особливості Critroni / Trojan-Ransom.Win32.Onion (за описом «Лабораторії Касперського»).

    Командний сервер розташований в анонімній мережі Tor

    У розглянутому прикладі міститься статичний (єдиний) адреса командного сервера, він розташовується в доменній зоні .onion.

    Відзначимо, що саме по собі це не є «інновацією». Серед інших типів шкідливого ПО подібні випадки вже зустрічалися.

    Однак серед зловредів-вимагачів це в новинку. Хоча деякі раніше виявлені сімейства здирників і вимагали, щоб жертва сама відвідала якийсь сайт в Tor, однак ми розглядаємо зловредів підтримує повноцінну взаємодію з мережею Tor без участі жертви, що відрізняє його від інших.

    Незвичайна технічна організація доступу до мережі Tor

    Всі раніше зустрічалося шкідливе ПО якщо і спілкувалося з мережею Tor, то робило це невигадливо: запускало (нехай іноді за допомогою впровадження в інші процеси) легальний файл tor.exe, що поширюється з офіційного веб-сайту мережі.

    Trojan-Ransom.Win32.Onion не використовує готового файлу tor.exe. Замість цього весь код, необхідний для реалізації спілкування з анонімної мережею, статично слінкован з виконуваним файлом зловреда (тобто суміщений з шкідливим кодом) і запускається в окремому потоці (thread).

    Замість цього весь код, необхідний для реалізації спілкування з анонімної мережею, статично слінкован з виконуваним файлом зловреда (тобто суміщений з шкідливим кодом) і запускається в окремому потоці (thread)

    Код, що міститься процедури thread_tor_proxy, практично цілком узятий з відкритих джерел (Tor є open-source проектом).

    Коли зв'язок з Tor встановлена ​​і піднято локальний tor proxy сервер за адресою 127.0.0.1 (номер порту різниться на різних заражених машинах і залежить від параметра MachineGuid), виставляється глобальний прапор can_complete_circuit, який перевіряється в потоці thread_post_unlock_data.

    Як тільки це сталося, зловредів здійснює мережеву комунікацію саме з цим локальною адресою.

    Як тільки це сталося, зловредів здійснює мережеву комунікацію саме з цим локальною адресою

    Запит, що посилається зловредів на сервер, містить дані, необхідні для розшифровки файлів жертви.

    Запит, що посилається зловредів на сервер, містить дані, необхідні для розшифровки файлів жертви

    У відповідь сервер повертає дані про вартість розблокування в біткоіни і доларах США, а також адреса гаманця для оплати.

    У відповідь сервер повертає дані про вартість розблокування в біткоіни і доларах США, а також адреса гаманця для оплати

    Протокол Діффі-Хеллмана на еліптичній кривій

    Жоден зловредів раніше не використав протокол Діффі-Хеллмана на еліптичній кривій замість традиційної зв'язки алгоритмів AES + RSA.

    Коротка схема роботи протоколу.

    • Існує можливість згенерувати пару ключів - секретний (private) і відкритий (public).
    • Зі свого секретного і чужого відкритого ключа можна згенерувати так званий розділяється (загальний) секрет (shared secret).
    • Якщо два абонента обмінялися відкритими ключами (секретні ключі не передаються!) І кожен незалежно від іншого обчислив розділяється секрет з чужого відкритого і свого секретного ключа, у обох вийде одне і те ж значення.
    • Отриманий розділяється секрет можна використовувати як ключ для будь-якого симетричного алгоритму шифрування.

    Кріптолокер Critroni не зберігаються на комп'ютері жертви секретний ключ після шифрування файлів, а відправляє його на сервер зловмисників.

    Рухаючись на сервер ключ можна було б перехопити, але, на жаль, це не дасть можливості розшифрувати файли жертви. Справа в тому, що автори зловредів використовували для захисту свого трафіку той же самий асиметричний протокол ECDH, тільки з окремим спеціальним набором ключів.

    Оскільки використання такої грамотної кріптосхеми не дає можливості отримати приватні ключі і розшифрувати файли самостійно, «Лабораторія Касперського» рекомендує використовувати резервне копіювання важливих файлів і використовувати антивіруси зі свіжими базами сигнатур.

    «Цей шифрувальник - представник нового покоління троянців-вимагачів. Його автори застосували як відомі техніки, «обкатані» його численними попередниками, наприклад, вимога викупу в валюті Bitcoin, так і абсолютно нові для даного класу шкідливого ПО рішення. Зокрема, приховування командного сервера в анонімній мережі Tor ускладнює пошук зловмисників, а використана незвичайна криптографічний схема робить розшифровку файлів неможливою навіть при перехопленні трафіку між троянцем і сервером. Всі разом робить його небезпечною загрозою і одним з найбільш технологічних шифрувальників на сьогоднішній день », - зазначив Федір Синіцин, старший антивірусний аналітик «Лабораторії Касперського».

    Всі разом робить його небезпечною загрозою і одним з найбільш технологічних шифрувальників на сьогоднішній день », - зазначив Федір Синіцин, старший антивірусний аналітик «Лабораторії Касперського»

    IRC (Internet Relay Chat)

    Все права защищены © 2013 IRC-сервер — Irc.Online.com.ua