Critroni (CTB-Locker)- Új ransomware terjed a hacker fórumokon

Egy új, Critroni (CTB-Locker) névre keresztelt ransomware (a rendszeren található a felhasználó számára fontos adatok titkosításának feloldásáért cserébe ellenszolgáltatást követelő kártékony kód) jelent meg, amelyet múlt hónapban már értékesítettek a fórumokon az Angler Exploit Kittel.

A Critroni számos különleges funkcióval rendelkezik, a kutatók szerint ez az első ransomware, amely TOR (The Onion Router, olyan védett, anonimizálást elősegítő hálózati szegmens, amelyen a kommunikáló felek azonosítása rendkívül összetett) hálózatot használ a C&C szerverekkel történő kommunikációra.

Az elmúlt évben a CryptoLocker vezető szerepet töltött be a ransomware-ek családjában. A CryptoLocker a fertőzött számítógép bizonyos állományainak rendeltetésszerű használatát akadályozza (az állományok részben, vagy egészben történő titkosításával).

A Critroni nevű ransomware-t kb. 3000 $-ért értékesítik. A kutatók szerint a támadók egy része már használja is, akik az Angler Exploit Kittel telepítenek spambot-okat az áldozatok gépeire. A spambot segítségével töltődnek le a kártékony tartalmak a PC-kre, köztük a Critroni is.

 

Technikai részletek:

Az Angler Exploit Kitet a kiberbűnözők először hatóságok nevével visszaélő (mint pl. FBI), Reveton nevű zsaroló trójai terjesztése során használták fel. Az Angler feladata az volt, hogy különféle sérülékenységek kihasználása révén elősegítse a Reveton feltelepülését a PC-kre. Először a Java, a Flash Player és az Adobe Reader alkalmazásokkal, majd a Silverlight-tal is „kompatibilisek” lettek.

https://securityledger.com/2014/05/silverlight_exploits_fuel_drive_by_attacks/

http://internetdo.com/2013/11/cybercriminals-target-silverlight-users-with-new-exploit-kit/

http://internetdo.com/2013/11/cybercriminals-target-silverlight-users-with-new-exploit-kit/

http://www.f-secure.com/v-descs/trojan_w32_reveton.shtml

http://www.microsoft.com/security/portal/threat/Encyclopedia/Entry.aspx?Name=Ransom%3AWin32%2FReveton.Y

 

Virustotal ellenőrzés aktuális eredményei:

https://www.virustotal.com/en/file/df3958d4ffdbe8bbc9335d4e5022034097d146ea8866d4a49d5fa08e51670fa8/analysis/1405679005/

https://www.virustotal.com/en/file/b3c92d7a9dead6011f3c99829c745c384dd776d88f57bbd60bc4f9d66641819b/analysis/1405679315/

 

Forrás és további információk:

http://threatpost.com/critroni-crypto-ransomware-seen-using-tor-for-command-and-control/107306

http://malware.dontneedcoffee.com/2014/07/ctb-locker.html