مجرمان سایبری در حال انتشار یک بدافزار گروگانگیر جدید هستند که فایلها را رمز میکند و قویتر و انعطافپذیرتر از CryptoLocker است.
CryptoLocker ( مادر ویروسهای گروگانگیر ) تهدیدی بود که مدتیاست توسط اقدامات وزارت دادگستری ایالات متحده تا حدی فروکش کرده است.
ویروس گروگانگیر جدید (CTB Locker (Curve Tor Bitcoin Locker نامیده میشود، ولی محصولات ضد بدافزار مایکروسافت آن را با عنوان Critroni میشناسند...
خالق این بدافزار از مدتی بیش در حال تبلیغ این بدافزار برای سایر مجرمان سایبری در فرومهای روسی زبان بوده است و به نظر میرسد که سعی کرده است اغلب اشکالات CryptoLocker را برطرف نماید.
Critroni از یک الگوریتم رمزگذاری مبتنی بر رمزگذاری منحنی بیضوی استفاده میکند که تولید کننده آن ادعا دارد که بسیار سریعتر از مدلهای رمزگذاری مورد استفاده سایر تهدیدات گروگانگیر است. همچنین درصورتیکه هیچ نقصی در پیادهسازی این الگوریتم وجود نداشته باشد، بازگشایی فایلهای رمز شده بدون پرداخت باج غیرممکن خواهد بود.
Critroni مانند CryptoLocker برای هر سیستم قربانی یک جفت کلید عمومی و خصوصی تولید میکند. کلید عمومی بر روی کامپیوتر قربانی ذخیره شده و در اختیار قربانی قرار داده میشود و سپس از وی درخواست میگردد که باج مورد نظر گروگانگیر را در Bitcoin بپردازد تا فایلها بازگردانده شوند.
کلید خصوصی که برای رمزگشایی فایلها مورد استفاده قرار میگیرد، بر روی یک سرور دستور و کنترل راه دور قرار میگیرد، صرفاً میتواند از طریق شبکه Tor مورد دسترسی قرار گیرد. این یک اقدام احتیاطی است که خالق این بدافزار اتخاذ کرده است تا کار نهادهای قانونی یا محققان امنیتی را برای شناسایی و از کار انداختن سرور سخت کند.
در اوایل ژوئن، وزارت دادگستری ایالات متحده به همراه نهادهای قانونی کشورهای مختلف، کنترل باتنت Gameover Zeus را که در حال انتشار بدافزار گروگانگیر CryptoLocker بود در اختیار گرفتند.
در طول این عملیات همچنین سرورهای دستور و کنترل CryptoLocker نیز توقیف شدند.
Critroni برای جلوگیری از وقوع چنین اتفاقی طوری طراحی شده است که عملیات رمزگذاری فایلها را پیش از اتصال به سرور دستور و کنترل به طور محلی کامل کند. این کار همچنین کار محصولات امنیتی شبکه را برای شناسایی و مسدودسازی به موقع آن از طریق تحلیل ترافیک مشکل میسازد.
به گفته نویسنده Critroni ، مسدود کردن ترافیک Tor فقط از پرداخت پول توسط کاربر جلوگیری میکند، اما بدافزار کار خود را به درستی انجام میدهد.
به گفته یک محقق بدافزارها، این برنامه گروگانگیر ابتدا کاربران روس زبان را هدف قرار داده بود، اما ویرایشهای اخیر آن پیغامهای گروگانگیری به زبان انگلیسی نیز نمایش میدهند که این به معنای گسترش بیشتر این بدافزار است.
