Криптовирус Critoni продается за $3000 на подпольном форуме, использует сеть анонимности Tor для связи с сервером C & C

Новый вирус-вымогатель под названием Critoni продается на подпольных форумах. Специфика этого программного обеспечения заключается в том, что оно использует сеть Tor для связи с удаленным сервером командования и управления. Это анонимизирует связь и, следовательно, делает ее недоступной для обнаружения, так как команды вируса проходят через несколько уровней настройки анонимизатора Tor, прежде чем достичь сервера командования и управления.

Для непосвященных, вирус-вымогатель — это вредоносное ПО, которое, заразив ваш компьютер, шифрует различные типы файлов, документов, видео и изображений с помощью зашифрованного ключа и затем требует от вас выкуп за ключи для расшифровки ваших данных.

Пост, предлагающий продажу Critoni, был обнаружен французским исследователем безопасности Кафеином, который сообщает, что реклама была размещена с середины июня 2014 года. Он сказал, что цена на это вредоносное ПО составляет $3,000.00 / €2,220.00 / Rs.180,000.00.

Это конкретное вредоносное ПО называется CTB-Locker (Curve-Tor-Bitcoin Locker) киберпреступниками и Critoni.A по версии Microsoft. Critoni использует постоянную криптографию, основанную на эллиптических кривых, что делает расшифровку файлов невозможной; ключи генерируются случайным образом, и нет риска, что два ключа будут одинаковыми. Если произойдет заражение, выкуп должен быть выплачен в биткойнах, чтобы предотвратить отслеживание транзакции. Вирус-вымогатель также предоставляет учебное пособие о том, как получить биткойны через рынок, если у него/нее их нет. На самом деле, если жертва нова в сети анонимизатора Tor, она даже предоставляет учебные пособия о том, как скачать Tor.

Согласно Кафеину, в посте на подпольном форуме также упоминалось, что процесс шифрования может быть выполнен при отсутствии интернет-соединения, но как он может подключиться к своему серверу C & C в этом случае — вопрос. Кафеин также сообщает, что Critoni был замечен в доставке через набор эксплойтов Angler, но также были обнаружены и другие формы атак в дикой природе.

Еще одной особенностью Critoni является то, что как только истекает установленный срок для выплаты выкупа, программа блокировки файлов автоматически удаляет себя, и жертвам предлагается еще одна возможность восстановить данные. Эти инструкции предоставляются в TXT-файле, расположенном в папке Документы.

Согласно экспертам по безопасности из Kaspersky, это первый криптовирус, использующий сеть Tor для анонимизации своей связи с сервером командования и управления. Этот вид защиты обычно наблюдается в банковских троянах, таких как вредоносное ПО Zues.

В отчете на

Threatpost

Федор Синицын из Kaspersky сказал: «Исполняемый код для установления соединения с Tor встроен в тело вредоносного ПО. Ранее для вредоносного ПО этого типа это обычно выполнялось с помощью файла Tor.exe. Встраивание функций Tor в тело вредоносного ПО является более сложной задачей с точки зрения программирования, но это имеет свои преимущества, поскольку помогает избежать обнаружения и в целом более эффективно».

Использование сети Tor снижает риск обнаружения и облегчает киберпреступникам создание биткойнов за счет беззащитных жертв Critoni.A