انتشار گروگان‌گير Critroni از طريق Tor

انتشار گروگان‌گير Critroni از طريق Tor

تاریخ ایجاد

شماره: IRCNE2014072262
تاريخ: 93/4/31

مجرمان سايبري در حال انتشار يك بدافزار گروگان‌گير جديد هستند كه فايل‌ها را رمز مي‌كند و قوي‌تر و انعطاف‌پذيرتر از Cryptolocker است. Cryptolocker تهديدي بود كه اخيراً توسط وزارت دادگستري ايالات متحده فروكش كرد.
اين تهديد گروگان‌گير جديد CTB-Locker (Curve-Tor-Bitcoin Locker) ناميده مي‌شود، ولي محصولات ضد بدافزار مايكروسافت آن را با عنوان Critroni مي‌شناسند. خالق اين بدافزار از اواسط ماه ژوئن در حال تبليغ اين بدافزار براي ساير مجرمان سايبري در فروم‌هاي روسي زبان بوده است و به نظر مي‌رسد كه سعي كرده است اغلب اشكالات Cryptolocker را برطرف نمايد.
Critroni از يك الگوريتم رمزگذاري مبتني بر رمزگذاري منحني بيضوي استفاده مي‌كند كه توليد كننده آن ادعا دارد كه بسيار سريعتر از مدل‌هاي رمزگذاري مورد استفاده ساير تهديدات گروگان‌گير است. همچنين درصورتي‌كه هيچ نقصي در پياده‌سازي اين الگوريتم وجود نداشته باشد، بازگشايي فايل‌هاي رمز شده بدون پرداخت باج غيرممكن خواهد بود.
Critroni مانند Cryptolocker براي هر سيستم قرباني يك جفت كليد عمومي و خصوصي توليد مي‌كند. كليد عمومي بر روي كامپيوتر قرباني ذخيره شده و در اختيار قرباني قرار داده مي‌شود و سپس از وي درخواست مي‌گردد كه باج مورد نظر گروگان‌گير را در Bitcoin بپردازد تا فايل‌ها بازگردانده شوند.
كليد خصوصي كه براي رمزگشايي فايل‌ها مورد استفاده قرار مي‌گيرد، بر روي يك سرور دستور و كنترل راه دور قرار مي‌گيرد، صرفاً مي‌تواند از طريق شبكه Tor مورد دسترسي قرار گيرد. اين يك اقدام احتياطي است كه خالق اين بدافزار اتخاذ كرده است تا كار نهادهاي قانوني يا محققان امنيتي را براي شناسايي و از كار انداختن سرور سخت كند.
در اوايل ژوئن، وزارت دادگستري ايالات متحده به همراه نهادهاي قانوني كشورهاي مختلف، كنترل بات‌نت Gameover Zeus را كه در حال انتشار بدافزار گروگان‌گير Cryptolocker بود در اختيار گرفتند. در طول اين عمليات همچنين سرورهاي دستور و كنترل Cryptolocker نيز توقيف شدند.
Critroni براي جلوگيري از وقوع چنين اتفاقي طوري طراحي شده است كه عمليات رمزگذاري فايل‌ها را پيش از اتصال به سرور دستور و كنترل به طور محلي كامل كند. اين كار همچنين كار محصولات امنيتي شبكه را براي شناسايي و مسدودسازي به موقع آن از طريق تحليل ترافيك مشكل مي‌سازد.
به گفته نويسنده Critroni ، مسدود كردن ترافيك Tor فقط از پرداخت پول توسط كاربر جلوگيري مي‌كند، اما بدافزار كار خود را به درستي انجام مي‌دهد.
به گفته يك محقق بدافزارها، اين برنامه گروگان‌گير ابتدا كاربران روس زبان را هدف قرار داده بود، اما ويرايش‌هاي اخير آن پيغام‌هاي گروگان‌گيري به زبان انگليسي نيز نمايش مي‌دهند كه اين به معناي گسترش بيشتر اين بدافزار است.

مطالب مرتبط:
توقف توزيع بدافزار گروگان گير Cryptolocker

برچسب‌ها
اخبار
  • 2