ایتنا- نویسنده این بدافزار تلاش كرده است كه اشكالات Cryptolocker را در بدافزار خود برطرف نماید.
مجرمان سایبری در حال انتشار یك بدافزار گروگانگیر جدید هستند كه فایلها را رمز میكند و قویتر و انعطافپذیرتر از Cryptolocker است. Cryptolocker تهدیدی بود كه اخیراً توسط وزارت دادگستری ایالات متحده فروكش كرد.
به گزارش ایتنا از مرکز ماهر، این تهدید گروگانگیر جدید CTB-Locker (Curve-Tor-Bitcoin Locker) نامیده میشود، ولی محصولات ضد بدافزار مایكروسافت آن را با عنوان Critroni میشناسند.
خالق این بدافزار از اواسط ماه ژوئن در حال تبلیغ این بدافزار برای سایر مجرمان سایبری در فرومهای روسی زبان بوده است و به نظر میرسد كه سعی كرده است اغلب اشكالات Cryptolocker را برطرف نماید.
Critroni از یك الگوریتم رمزگذاری مبتنی بر رمزگذاری منحنی بیضوی استفاده میكند كه تولید كننده آن ادعا دارد كه بسیار سریعتر از مدلهای رمزگذاری مورد استفاده سایر تهدیدات گروگانگیر است.
همچنین درصورتیكه هیچ نقصی در پیادهسازی این الگوریتم وجود نداشته باشد، بازگشایی فایلهای رمز شده بدون پرداخت باج غیرممكن خواهد بود.
Critroni مانند Cryptolocker برای هر سیستم قربانی یك جفت كلید عمومی و خصوصی تولید میكند. كلید عمومی بر روی كامپیوتر قربانی ذخیره شده و در اختیار قربانی قرار داده میشود و سپس از وی درخواست میگردد كه باج مورد نظر گروگانگیر را در Bitcoin بپردازد تا فایلها بازگردانده شوند.
كلید خصوصی كه برای رمزگشایی فایلها مورد استفاده قرار میگیرد، بر روی یك سرور دستور و كنترل راه دور قرار میگیرد، صرفاً میتواند از طریق شبكه Tor مورد دسترسی قرار گیرد. این یك اقدام احتیاطی است كه خالق این بدافزار اتخاذ كرده است تا كار نهادهای قانونی یا محققان امنیتی را برای شناسایی و از كار انداختن سرور سخت كند.
در اوایل ژوئن، وزارت دادگستری ایالات متحده به همراه نهادهای قانونی كشورهای مختلف، كنترل باتنت Gameover Zeus را كه در حال انتشار بدافزار گروگانگیر Cryptolocker بود در اختیار گرفتند. در طول این عملیات همچنین سرورهای دستور و كنترل Cryptolocker نیز توقیف شدند.
Critroni برای جلوگیری از وقوع چنین اتفاقی طوری طراحی شده است كه عملیات رمزگذاری فایلها را پیش از اتصال به سرور دستور و كنترل به طور محلی كامل كند. این كار همچنین كار محصولات امنیتی شبكه را برای شناسایی و مسدودسازی به موقع آن از طریق تحلیل ترافیك مشكل میسازد.
به گفته نویسنده Critroni ، مسدود كردن ترافیك Tor فقط از پرداخت پول توسط كاربر جلوگیری میكند، اما بدافزار كار خود را به درستی انجام میدهد.
به گفته یك محقق بدافزارها، این برنامه گروگانگیر ابتدا كاربران روس زبان را هدف قرار داده بود، اما ویرایشهای اخیر آن پیغامهای گروگانگیری به زبان انگلیسی نیز نمایش میدهند كه این به معنای گسترش بیشتر این بدافزار است.