Neue Bitcoin-Ransomware, CTB-Locker, nutzt Tor-Netzwerk, um anonym zu bleiben

Es gibt eine neue Datei-verschlüsselnde Bitcoin-Ransomware auf dem losen namens CTB Locker (Curve-To-Bitcoin Locker oder Critroni), und es ist mit Tor, um Daten zu übertragen und bleiben anonym. Experten sagen, es ist einer der fortschrittlichsten, die sie je gesehen haben und es ist auf Computer mit Windows XP, Vista, 7 und 8. Sie werden wahrscheinlich nicht wissen, dass Sie infiziert wurden, bis Ihre Dateien bereits verschlüsselt sind.

Laut einem Kaspersky-Blog Beitrag von Senior Malware Analyst Fedor Sinitsyn geschrieben:

"Durch die Verwendung von TOR machen Kriminelle es schwerer, ihre Aktivität zu verfolgen und Malware-Steuerungsserver zu nutzen. Mit Bitcoins, eine anonyme cryptocurrency, als die exklusive Zahlungsoption, macht nach dem Geld-Komplex zu. Was bedeutet es für gewöhnliche Benutzer? Kriminelle werden wahrscheinlich in der Lage sein, diese Malware für eine lange Zeit zu verwenden. Darüber hinaus wird die Malware auf U-Bahn-Foren verkauft und internationale Aufmerksamkeit erregt. Deshalb erwarten wir weitere Infektionen in anderen Regionen, vor allem in den USA, Großbritannien und anderen, die sich als gute "Märkte" für Ransomware erwiesen haben. "

Während es in der Funktion zu CryptoLocker ähnlich ist (was vor kurzem durch intergouvernementale Bemühungen heruntergefahren wurde), wird CTB Locker von einer anderen Gruppe geführt, wobei extrem fortgeschrittene neue Technologie bekannt als elliptische Kurve Kryptographie. Die Malware kommuniziert mit ihrem Kontrollserver über Tor anstelle des regulären Internets, was es noch schwieriger macht, die Strafverfolgung zu verfolgen, wie es bei CryptoLocker geschieht.

CTB Locker wird von Kaspersky als Trojan-Ransom erkannt. Win32 Zwiebel, und wird von der Andromeda Botnet verteilt und ein bösartiger Wurm der Joleee Familie, die herunterlädt und führt die CTB Locker Ransomware. Die Malware wird über Webseiten mit Exploit-Kits verteilt, die entworfen sind, um Downloads auf den Computer eines Opfers zu initiieren.

Einmal infiziert mit CTB Locker, scannt die Malware Ihren Computer für wichtige Dokumente, Fotos, Datenbanken und andere Dateien, verschiebt und komprimiert die Dateien in einer temporären Datei und verschlüsselt sie dann mit unzerbrechlicher Elliptischer Kurve Diffie-Hellman Kryptographie.

Ein Fenster wird dann angezeigt, um Ihnen mitzuteilen, dass Ihre Dateien verschlüsselt wurden und dass Sie ein Lösegeld zwischen 0. 2 und 0. 5 Bitcoins bezahlen müssen, um sie wiederherzustellen. Das Lösegeld muss innerhalb von 72 Stunden erfüllt sein oder Sie riskieren, dass Dateien dauerhaft gesperrt sind. Die ransomware Programmierer waren nett genug, um es zu programmieren, um Ihren Desktop-Hintergrund auf ein Bild mit Anweisungen auf, wie man das Lösegeld bezahlen und Dateien wiederherstellen.

Sobald das Lösegeld bezahlt ist, wird ein Schlüssel gesendet, der verwendet werden kann, um deine Dateien zu entschlüsseln, aber nicht genügend Daten sind da draußen, um festzustellen, ob die Cyberkriminellen tatsächlich ihr Ende des Deals halten und Ihnen erlauben, Ihre Dateien zu entschlüsseln.

Ein Aspekt der CTB Locker Malware, die es so einzigartig macht, ist, dass es mit seinem Befehls- und Kontrollserver über das Tor-Netzwerk kommuniziert, ohne dass das Opfer mit Tor installiert ist. CTB Locker-Programmierer konnten einen Teil des Open-Source-Codes von Tor in ihre Malware implementieren, so dass es kommunizieren konnte, ohne dass das Tor Browser Bundle tatsächlich installiert wurde.

"Der gesamte Code, der benötigt wird, um die Interaktion mit dem Anonymität-Netzwerk zu implementieren, ist statisch mit der ausführbaren Datei des bösartigen Programms verknüpft (z. B. wird als Teil des bösartigen Codes implementiert) und wird in einem separaten Thread gestartet", sagte Sinitsyn.

Die Cyberkriminellen haben sogar ihre eigenen gegründet. Zwiebel, um Lösegeld zu behandeln.

Sinitsyn fortgesetzt:

Die analysierte Probe hat eine einzige statische Befehlsserveradresse, die zur. Zwiebelbereichszone.

Es ist erwähnenswert, dass dies an sich nicht "innovativ" ist. Wir haben ähnliche Arrangements in anderen Malware-Typen gesehen (diskutiert, zum Beispiel hier und hier).

Dies ist jedoch eine neue Entwicklung für Ransomware. Obwohl einige der Lösegeld-Trojaner aus Familien früher festgestellt haben, dass das Opfer eine bestimmte Website auf dem Tor-Netzwerk besuchen, unterstützt die hier diskutierte Malware die volle Interaktion mit Tor ohne den Einsatz des Opfers und setzt sie von den anderen ab.

Es gibt leider leider nur wenige Wiederherstellungsoptionen. In einer ausführlichen Anleitung, wie Sie sich am besten vor CTB Locker, BleepingComputer schützen können. com schreibt, "die einzigen Methoden, die Sie haben, um Ihre Dateien wiederherzustellen, ist von einem Backup, Datei Recovery-Tools, oder wenn Ihr Glück von Shadow Volume Copies. "Ein weiterer Entfernungsführer finden Sie hier auf dem VilmaTech Blog.

Laut BleepingComputer wird diese spezielle Malware auch online für $ 3, 000 USD als Teil eines Hacking-Kits verkauft, der sogar Unterstützung enthält, um die Malware in Betrieb zu nehmen.

Nach BleepingComputer kann die folgende Methode verwendet werden, um zu verhindern, dass CTB Locker Ihren Computer infiziert: