OphionLocker, новый программ-вымогатель использует эллиптическую кривую для шифрования, Tor для связи и малвертизинг для распространения

Table Of Contents

• Программ-вымогатель OphionLocker использует эллиптическую кривую для шифрования, Tor для связи и малвертизинг для распространения
• Эллиптическая кривая криптография
• Работа
• Программ-вымогатели становятся все более упрямыми

Программ-вымогатель OphionLocker использует эллиптическую кривую для шифрования, Tor для связи и малвертизинг для распространения

Новый вид программ-вымогателя был обнаружен исследователями Trojan7Malware. Названный OphionLocker, этот программ-вымогатель очень уникален тем, что использует эллиптическую кривую криптографию для шифрования файлов и Tor для связи. Еще одной уникальной особенностью OphionLocker является то, что он использует кампании малвертизинга для своего распространения, а не традиционные методы целевой фишинговой атаки.

Эллиптическая кривая криптография

Эллиптическая кривая криптография (ECC) — это криптография с открытым ключом, основанная на алгебраической структуре эллиптических кривых над конечными полями. Одним из основных преимуществ ECC является то, что она обеспечивает тот же уровень шифрования с меньшими размерами ключей.

Эта алгебраическая форма шифрования основана на решении дискретного логарифма случайного элемента эллиптической кривой. Это, как и более знакомая идея факторизации произведения двух очень больших простых чисел, предлагает одностороннюю функцию для обеспечения безопасности систем криптографии с открытым ключом. ECC предлагает эквивалентные уровни безопасности с меньшими размерами ключей, что является особым преимуществом для систем с ограниченной вычислительной мощностью, таких как смартфоны.

Работа

Как только потенциальная жертва загружает вредоносное ПО, посетив веб-сайт, обслуживающий код малвертизинга, оно шифрует доступные файлы, а затем использует URL Tor2web для перехода на страницу с инструкциями о том, как заплатить за получение инструмента декодирования. Нападающие требуют оплату в один биткойн за инструмент декодирования, что составляет 350 долларов по текущим курсам обмена. Однако цена на инструмент декодирования может изменяться в зависимости от геолокации жертвы. Trojan7Malware предоставил следующий шаблон шифрования файлов этого программ-вымогателя, который похож на типы файлов, зашифрованные CryptoLocker и TorLocker.

Зашифрованные расширения;
“accdb”,0,”.ai”,0,”.arw”,0,”.bay”,0,”.blend”,0,”.cdr”,0,”.cer”,0,”.cr2″,0,”.crt”,0,”.crw”,0,”.dbf”,0,”.dcr”,0,”.der”,0,”

.dng”,0,”.doc”,0,”.docm”,0,”.docx”,0,”.dwg”,0,”.dxf”,0,”.dxg”,0,”.eps”,0,”.erf”,0,”.indd”,0,”.jpe”,0,”.jpg”,0,”.jpeg”,0,”

.kdc”,0,”.mdb”,0,”.mdf”,0,”.mef”,0,”.mrw”,0,”.nef”,0,”.nrw”,0,”.odb”,0,”.odm”,0,”.odp”,0,”.ods”,0,”.odt”,0,”.orf”,0,”

.p12″,0,”.p7b”,0,”.p7c”,0,”.pdd”,0,”.pdf”,0,”.pef”,0,”.pem”,0,”.pfx”,0,”.ppt”,0,”.pptm”,0,”.pptx”,0,”.psd”,0,”.pst”,0,”

.ptx”,0,”.r3d”,0,”.raf”,0,”.raw”,0,”.rtf”,0,”.rw2″,0,”.rwl”,0,”.srf”,0,”.srw”,0,”.wb2″,0,”.wpd”,0,”.wps”,0,”.xlk”,0,”

.xls”,0,”.xlsb”,0,”.xlsm”,0,”.xlsx”,0,0″

Одним из интересных аспектов этого программ-вымогателя является то, что он пытается осознавать среду, в которой он работает. Если вредоносное ПО обнаруживает виртуальную среду, оно не будет запрашивать оплату. Виртуальные среды обычно используются исследователями безопасности против таких вредоносных программ.

Еще одной уникальной особенностью этого вредоносного ПО является то, что оно генерирует номер HWID (идентификация оборудования), чтобы гарантировать, что только одна копия может быть сгенерирована на одном ПК.

Авторы/обработчики этого вредоносного ПО, похоже, используют эти техники, чтобы скрыть программ-вымогатель как можно дольше от исследователей безопасности и также заносить в черный список любые ПК, которые они считают скомпрометированными исследователями безопасности.

OphionLocker более опасен, чем предыдущие аватары программ-вымогателей, потому что ему не нужна подключение к интернету или взаимодействие с пользователем для начала шифрования. Это связано с тем, что открытый ключ уже присутствует в загружаемом жертвой вредоносном ПО. Это делает его труднее обнаружить или предотвратить инфекцию.

Программ-вымогатели становятся все более упрямыми

Распространение и жестокость этих программ-вымогателей и их обработчиков/нападающих/авторов, похоже, становятся все лучше и смелее, используя все более сложные техники шифрования. Несмотря на высокопрофильное уничтожение CryptoLocker, программ-вымогатели остаются смертельной угрозой для пользователей. Прогресс в техниках, используемых авторами такого рода вредоносного ПО, можно заметить в OphionLocker, который использует шифрование с меньшим ключом с помощью эллиптической кривой криптографии и анонимной сети Tor для связи со своим сервером командования и управления.

Ресурс: Trojan7Malware