Jaunas paaudzes kriptovīruss Critroni

This topic has 7 atbilžu, 6 voices, and was last updated pirms 10 years, 3 months by akms47.

Tiek skatīts 8 ierakstu – 1 līdz 8 (no 8 kopumā)

Autors

Ieraksti
27. Jūl, 2014 at 07:03 #159915

samurajs
Participant

Jūlija otrajā pusē programmatūras melnajos tirgos parādījies tik augstas klases Ransomware tipa datorvīruss, kāds līdz šim vēl nav redzēts. Runa ir par CTB-Locker (Curve-Tor-Bitcoin Locker), kurš antivīrusu datubāzēs atzīmēts kā Critroni.A un Trojan-Ransom.Win32.Onion. Pagaidām masveida izplatība vēl nav novērota, bet Kaspersky Lab jau veicis Critroni izpēti.

Inficēšanās notiek pa sekojošu ķēdīti:

1. Jāsaķer bots “Andromeda” Backdoor.Win32.Androm

2. Tas ielādē e-pasta tārpu Email-Worm.Win32.Joleee.

3. Tārps izsūta spamu un ielādē Trojan-Ransom.Win32.Onion

Pēc tam sākas nelaime. Critroni ielādējas (CSIDL_COMMON_APPDATA) un pievieno uzdevumu Task Scheduler;

Tālāk tiek skenēti diski uz dokumentiem, datubāzēm, fotogrāfijām, un tos nošifrē ar publisko un privāto atslēgu, lietojot tādu papildus knifu kā session-shared key.

~~[img]~~https://notepad.lv/userpix/28_r1_1.jpg[/img]

Privāto atslēgu nosūta glabāties uz komandserveri TOR tīklā, un pēc tam sākas izspiešanas daļa. Lietotāja ekrāntapeti nomaina pret attēlā redzamo:

~~[img]~~https://notepad.lv/userpix/28_r2_1.jpg[/img]

~~[img]~~https://notepad.lv/userpix/28_r3_1.jpg[/img]

~~[img]~~https://notepad.lv/userpix/28_r4_1.jpg[/img]

Kad prasītā summa bitkoinos saņemta, serveris privāto atslēgu nosūta atpakaļ uz PC un programma godīgi (atšķirībā no citiem līdzīgiem vīrusiem) atšifrē visus failus sākotnējā stāvoklī. Tāpat atšķirībā no citiem līdzīgiem produktiem novērstas visas taciņas, lai varētu jebkā piekļūt failiem nesamaksājot. Kriptēšanai lietots asimetriskais Difi-Helmana protokols ar eliptisko līkni (Elliptic Curve Cryptography Diffieâ€“Hellman). Pilns knifu apraksts atrodams Securelist.ru – to tiešām interesanti pastudēt.

Kā izsargāties?

Pret Critroni bāzes versiju palīdzot Kaspersky antivīruss ar jaunākajiem atjauninājumiem. Pret modifikācijām – iespējams, ka nekas.

Tāpēc visiem svarīgajiem failiem jābūt izveidotām rezerves kopijām, pie tam ārējais datu nesējs uzreiz jāatvieno no PC. Ja bekapus glabājam mākonī – izvairāmies lietot sinhronizāciju.

27. Jūl, 2014 at 10:05 #309830

osy
Participant

Kur un kā var inficēties?

27. Jūl, 2014 at 10:34 #309831

Quagmire
Participant

“Ja bekapus glabājam mākonī – izvairāmies lietot sinhronizāciju.”

Dropbox 30 dienas saglabā failu iepriekšējās versijas.

27. Jūl, 2014 at 11:48 #309832

samurajs
Participant

Inficēties var tāpat kā ar jebkuru citu vīrusu. Nepieciešams tikai noķert Andromeda Botnet loader moduli. Es ļoti ceru, ka mums tas paies garām. Arī vīruss-iniciators Andromeda Botnet Latvijā nav izplatīts. Š itā programmatūra ir ļoti dārga un pircēji parasti tādu novirza spec. uzdevumiem – inficēt kādas komerc- vai valsts iestādes. Sakriptēt parasto jūzeru porno un tusiņu bildes – par to neviens bitkoinus nemaksās. Arī iepriekšējie kriptovīrusi Latvijā praktiski nebija manāmi. Mūs tik aplaimoja ar visai primitīvo Policijas vīrusu 😀

27. Jūl, 2014 at 14:13 #309833

SFiX
Participant

Ak nē, mana video kolekcija!

27. Jūl, 2014 at 14:31 #309834

samurajs
Participant

Nu neaiztiks viņš porņukus un muzonu arī ne – ar tiem formātiem viņš nekrāmējas 😀

27. Jūl, 2014 at 14:58 #309835

Crow
Participant

Nu ja, bet man visi pārsaukti par *.txt, lai tie, kas nezin, atvērt nevarētu! 🙁

27. Jūl, 2014 at 19:48 #309836

akms47
Participant

Vai šifrē tikai fiziskos, jeb arī tīkla diskus?
Autors

Ieraksti