Независимые специалисты по информационной безопасности предупреждали, что со второй половины июня на подпольных форумах предлагается на продажу «криптолокер нового поколения» CTB-Locker (Curve-Tor-Bitcoin Locker), который помечен в антивирусных базах как Critroni.A и Trojan-Ransom.Win32.Onion.

Код Critroni выполнен на самом высоком уровне. Это признали и аналитики «Лаборатории Касперского», которые тоже очень заинтересовались этой программой.

Некоторые особенности Critroni/Trojan-Ransom.Win32.Onion (по описанию «Лаборатории Касперского»).

Командный сервер расположен в анонимной сети Tor

В рассмотренном образце содержится статический (единственный) адрес командного сервера, он располагается в доменной зоне .onion.

Отметим, что само по себе это не является «инновацией». Среди других типов вредоносного ПО подобные случаи уже встречались.

Однако среди зловредов-вымогателей это в новинку. Хотя некоторые ранее обнаруженные семейства вымогателей и требовали, чтобы жертва сама посетила некий сайт в Tor, однако рассматриваемый нами зловред поддерживает полноценное взаимодействие с сетью Tor без участия жертвы, что отличает его от остальных.

Необычная техническая организация доступа к сети Tor

Все ранее встречавшееся вредоносное ПО если и общалось с сетью Tor, то делало это незатейливо: запускало (пусть иногда с помощью внедрения в другие процессы) легальный файл tor.exe, распространяющийся с официального веб-сайта сети.

Trojan-Ransom.Win32.Onion не использует готового файла tor.exe. Вместо этого весь код, необходимый для реализации общения с анонимной сетью, статически слинкован с исполняемым файлом зловреда (т.е. совмещен с вредоносным кодом) и запускается в отдельном потоке (thread).

001

Код, содержащийся процедуры thread_tor_proxy, практически целиком взят из открытых источников (Tor является open-source проектом).

Когда связь с Tor установлена и поднят локальный tor proxy сервер по адресу 127.0.0.1 (номер порта различается на разных зараженных машинах и зависит от параметра MachineGuid), выставляется глобальный флаг can_complete_circuit, который проверяется в потоке thread_post_unlock_data.

Как только это произошло, зловред осуществляет сетевую коммуникацию именно с этим локальным адресом.

002

Запрос, посылаемый зловредом на сервер, содержит данные, необходимые для расшифровки файлов жертвы.

003

В ответ сервер возвращает данные о стоимости разблокировки в биткоинах и долларах США, а также адрес кошелька для оплаты.

004

Протокол Диффи-Хеллмана на эллиптической кривой

Ни один зловред ранее не использовал протокол Диффи-Хеллмана на эллиптической кривой вместо традиционной связки алгоритмов AES+RSA.

Краткая схема работы протокола.

  • Существует возможность сгенерировать пару ключей – секретный (private) и открытый (public).
  • Из своего секретного и чужого открытого ключа можно сгенерировать так называемый разделяемый (общий) секрет (shared secret).
  • Если два абонента обменялись открытыми ключами (секретные ключи не передаются!) и каждый независимо от другого вычислил разделяемый секрет из чужого открытого и своего секретного ключа, у обоих получится одно и то же значение.
  • Полученный разделяемый секрет можно использовать как ключ для любого симметричного алгоритма шифрования.

Криптолокер Critroni не сохраняет на компьютере жертвы секретный ключ после шифрования файлов, а отправляет его на сервер злоумышленников.

Передаваемый на сервер ключ можно было бы перехватить, но, к сожалению, это не даст возможности расшифровать файлы жертвы. Дело в том, что авторы зловреда использовали для защиты своего трафика тот же самый асимметричный протокол ECDH, только с отдельным специальным набором ключей.

Поскольку использование такой грамотной криптосхемы не даёт возможности извлечь приватные ключи и расшифровать файлы самостоятельно, «Лаборатория Касперского» рекомендует использовать резервное копирование важных файлов и использовать антивирусы со свежими базами сигнатур.

«Этот шифровальщик — представитель нового поколения троянцев-вымогателей. Его авторы применили как известные техники, «обкатанные» его многочисленными предшественниками, например, требование выкупа в валюте Bitcoin, так и абсолютно новые для данного класса вредоносного ПО решения. В частности, сокрытие командного сервера в анонимной сети Tor затрудняет поиск злоумышленников, а использованная необычная криптографическая схема делает расшифровку файлов невозможной даже при перехвате трафика между троянцем и сервером. Все вместе делает его опасной угрозой и одним из самых технологичных шифровальщиков на сегодняшний день», — отметил Фёдор Синицын, старший антивирусный аналитик «Лаборатории Касперского».

001

002

003



28 комментариев

  1. 26.07.2014 at 10:15

    А если оплатить, то файлы все-таки расшифруются?)

  2. 26.07.2014 at 10:28

    А если командный центр за DDOS?

  3. 26.07.2014 at 10:33

    Как подхватить сие чудо на комп?)

  4. 26.07.2014 at 12:09

    >в зависимости от схемы оплаты операция занимает от 15 минут до 2-3 дней
    >71 час

    Рискованно как-то

  5. 26.07.2014 at 12:20

    Шикарная статья!

  6. 26.07.2014 at 12:43

    Ничего прям революционного не увидел. Или я что-то пропустил?

  7. 26.07.2014 at 12:54

    хороший локер,нужно будут себе прикупить.

    • 26.07.2014 at 14:19

      Прикупи, прикупи. Только потом не надо с плачем бежать в лабораторию Касперского, можешь не спешить. Там из таких как ты, бо-о-ольша-ая очередь выстроилась.))

  8. 26.07.2014 at 15:49

    Касперычи наконец то нашли способ зарабатывать деньги! Пускай не продажей своего беспантового касперского, а вымогательством! Будто этот троян не их рук дело. Корни растут именно из лаборатории касперыча.

  9. 26.07.2014 at 20:21

    А криптолокер Critroni признал низкое качество «Лаборатории Касперского»

  10. 28.07.2014 at 10:20

    весь код, необходимый для реализации общения с анонимной сетью, статически слинкован с исполняемым файлом

    Ох и вредители же. Ну, нет бы вместо дряни чатик какой-нибудь новый запилить лучше?

  11. 28.07.2014 at 11:09

    Зачем так сложно? Шифруешь случайным ключом AES256 и отсылать его на сервер по обычному https. Ну при желании можно хранить сертификат сервера.
    Или я что-то не понимаю?

    • 30.07.2014 at 02:40

      ну именно так он и работает, судя по описанию — просто «обычный https» как раз и использует Elliptic curve Diffie–Hellman (ECDH) что и усложняет, вернее делает невозможным, перехват

  12. 28.07.2014 at 11:46

    А у «Хакера» когда будет свой сайт в Tor?

  13. 28.07.2014 at 12:44

    Не беда, ведь от всех бед, есть «Format C:/!» :)))

  14. 28.07.2014 at 13:26

    > Код, содержащийся процедуры thread_tor_proxy,

    Гыгы, у них там «подключение к сервере»

  15. 07.01.2015 at 01:47

    УЖЕ ПОЙМАЛ((( чЕМ ЛЕЧИТЬ ФАЙЛИ?

  16. 29.01.2015 at 20:37

    CTB-Locker это и есть этот вирус я так понял? Пере шифровало кучу документов, сижу втыкаю, лекарства нет! зла не хватает.

  17. 09.02.2015 at 04:15

    Зашифровало все файлы на компьютере и один очень важный документ.
    Интересно, злоумышленники хоть кому-то расшифровали файлы после оплаты или это развод лишь бы получить деньги?

Оставить мнение