«Лабораторія Касперського» визнала високу якість кріптолокера Critroni
- Командний сервер розташований в анонімній мережі Tor
- Незвичайна технічна організація доступу до мережі Tor
- Протокол Діффі-Хеллмана на еліптичній кривій
Незалежні фахівці з інформаційної безпеки попереджали , Що з другої половини червня на підпільних форумах пропонується на продаж «кріптолокер нового покоління» CTB-Locker (Curve-Tor-Bitcoin Locker), який позначений в антивірусних базах як Critroni.A і Trojan-Ransom.Win32.Onion.
Код Critroni виконаний на найвищому рівні. це визнали і аналітики «Лабораторії Касперського» , Які теж дуже зацікавилися цією програмою.
Деякі особливості Critroni / Trojan-Ransom.Win32.Onion (за описом «Лабораторії Касперського»).
Командний сервер розташований в анонімній мережі Tor
У розглянутому прикладі міститься статичний (єдиний) адреса командного сервера, він розташовується в доменній зоні .onion.
Відзначимо, що саме по собі це не є «інновацією». Серед інших типів шкідливого ПО подібні випадки вже зустрічалися.
Однак серед зловредів-вимагачів це в новинку. Хоча деякі раніше виявлені сімейства здирників і вимагали, щоб жертва сама відвідала якийсь сайт в Tor, однак ми розглядаємо зловредів підтримує повноцінну взаємодію з мережею Tor без участі жертви, що відрізняє його від інших.
Незвичайна технічна організація доступу до мережі Tor
Всі раніше зустрічалося шкідливе ПО якщо і спілкувалося з мережею Tor, то робило це невигадливо: запускало (нехай іноді за допомогою впровадження в інші процеси) легальний файл tor.exe, що поширюється з офіційного веб-сайту мережі.
Trojan-Ransom.Win32.Onion не використовує готового файлу tor.exe. Замість цього весь код, необхідний для реалізації спілкування з анонімної мережею, статично слінкован з виконуваним файлом зловреда (тобто суміщений з шкідливим кодом) і запускається в окремому потоці (thread).
Код, що міститься процедури thread_tor_proxy, практично цілком узятий з відкритих джерел (Tor є open-source проектом).
Коли зв'язок з Tor встановлена і піднято локальний tor proxy сервер за адресою 127.0.0.1 (номер порту різниться на різних заражених машинах і залежить від параметра MachineGuid), виставляється глобальний прапор can_complete_circuit, який перевіряється в потоці thread_post_unlock_data.
Як тільки це сталося, зловредів здійснює мережеву комунікацію саме з цим локальною адресою.
Запит, що посилається зловредів на сервер, містить дані, необхідні для розшифровки файлів жертви.
У відповідь сервер повертає дані про вартість розблокування в біткоіни і доларах США, а також адреса гаманця для оплати.
Протокол Діффі-Хеллмана на еліптичній кривій
Жоден зловредів раніше не використав протокол Діффі-Хеллмана на еліптичній кривій замість традиційної зв'язки алгоритмів AES + RSA.
Коротка схема роботи протоколу.
- Існує можливість згенерувати пару ключів - секретний (private) і відкритий (public).
- Зі свого секретного і чужого відкритого ключа можна згенерувати так званий розділяється (загальний) секрет (shared secret).
- Якщо два абонента обмінялися відкритими ключами (секретні ключі не передаються!) І кожен незалежно від іншого обчислив розділяється секрет з чужого відкритого і свого секретного ключа, у обох вийде одне і те ж значення.
- Отриманий розділяється секрет можна використовувати як ключ для будь-якого симетричного алгоритму шифрування.
Кріптолокер Critroni не зберігаються на комп'ютері жертви секретний ключ після шифрування файлів, а відправляє його на сервер зловмисників.
Рухаючись на сервер ключ можна було б перехопити, але, на жаль, це не дасть можливості розшифрувати файли жертви. Справа в тому, що автори зловредів використовували для захисту свого трафіку той же самий асиметричний протокол ECDH, тільки з окремим спеціальним набором ключів.
Оскільки використання такої грамотної кріптосхеми не дає можливості отримати приватні ключі і розшифрувати файли самостійно, «Лабораторія Касперського» рекомендує використовувати резервне копіювання важливих файлів і використовувати антивіруси зі свіжими базами сигнатур.
«Цей шифрувальник - представник нового покоління троянців-вимагачів. Його автори застосували як відомі техніки, «обкатані» його численними попередниками, наприклад, вимога викупу в валюті Bitcoin, так і абсолютно нові для даного класу шкідливого ПО рішення. Зокрема, приховування командного сервера в анонімній мережі Tor ускладнює пошук зловмисників, а використана незвичайна криптографічний схема робить розшифровку файлів неможливою навіть при перехопленні трафіку між троянцем і сервером. Всі разом робить його небезпечною загрозою і одним з найбільш технологічних шифрувальників на сьогоднішній день », - зазначив Федір Синіцин, старший антивірусний аналітик «Лабораторії Касперського».