18 Aug

Ir atklāts CTB-Locker — iepriekš nezināms šifrēšanas Trojas zirga variants, kura funkcijas ietver pilnīgu mijiedarbību ar anonīmo tīklu TOR bez upura ziņas

Kaspersky Lab speciālisti ziņo par jauniem draudiem lietotāju personīgajai informācijai, kā arī uzņēmumu datiem: arhīviem, 1C datubāzēm un citiem dokumentiem. Jūnija beigās ir atklāts CTB-Locker — iepriekš nezināms šifrēšanas Trojas zirga variants, kura funkcijas ietver pilnīgu mijiedarbību ar anonīmo tīklu TOR bez upura ziņas. Turklāt nav iespēju atšifrēt datus, jo Trojas zirgs aizsargāti nosūta atslēgu uz hakeru serveri, kas slēpjas tīklā TOR. Sākotnēji Trojas zirga uzbrukumu mērķis bija angliski runājoši upuri, taču visjaunākajiem paraugiem ir veikti virspusēji uzlabojumi un tie ir ieguvuši krievu valodas atbalstu. Šis fakts, kā arī dažas koda rindas liecina, ka šo programmu pārvalda krieviski runājoši hakeri. Šim pieņēmumam atbilst arī inficēšanās ģeogrāfija: visvairāk incidentu ir reģistrēts NVS teritorijā. Atsevišķi inficēšanās gadījumi ir konstatēti Vācijas, Bulgārijas, Izraēlas, Apvienoto Arābu Emirātu un Lībijas teritorijā. Pirmajā acu uzmetienā šifrētāja vispārīgā darbības shēma ir samērā tipiska: Trojas zirgs pievieno savu izpildāmo datni sistēmas uzdevumu plānotāja sarakstā, pēc tam meklē datnes ar noteiktiem paplašinājumiem, šifrē tās un parāda lietotājam izpirkuma maksas pieprasījumu. Tomēr shēmas īstenošana atšķiras ar vienu «jauninājumu»: hakeru vadības serveris atrodas anonīmajā tīklā TOR, kas agrāk šifrētāju vidū nav novērots. Tā ir jaunā Trojas zirga principiāla atšķirība no citām ļaunprogrammatūrām, kas izmanto TOR anonimitāti: agrāk ļaundari datora iekļaušanai TOR tīklā izmantoja šā tīkla izstrādātāju legālo programmatūru, bet šajā gadījumā mijiedarbības kods ir īstenots kaitīgajā programmā. Tādējādi šī ļaunprogrammatūra var izmantot tīklu TOR, neizmantojot trešo personu izpildāmās datnes un nepalaižot papildu procesus. Turklāt atrastā Trojas zirga modifikācija atšķiras ar nestandarta pieeju šifrēšanai, ar kuru papildus tiek aizsargāts savienojums ar vadības serveri, tāpēc Trojas zirga nosūtītās informācijas, tostarp unikālās atslēgas, ar ko ir šifrētas datnes, pārtveršana nepalīdzēs atbloķēt lietotāja datus. «Šis šifrētājs ir jaunas Trojas zirgu izspiedēju paaudzes pārstāvis. Tā autori ir izmantojuši gan zināmus paņēmienus, ko ir pārbaudījuši tā neskaitāmie priekšgājēji, piemēram, izpirkuma maksas pieprasījumu Bitcoin valūtā, gan šai ļaunprogrammatūru klasei pilnīgi jaunus risinājumus. Piemēram, vadības servera slēpšana anonīmajā tīklā TOR apgrūtina uzbrucēju meklēšanu, bet izmantotā neparastā kriptogrāfiskā shēma padara neiespējamu datņu atšifrēšanu, pat ja tiek pārtverta datplūsma starp Trojas zirgu un serveri. Viss kopā to padara par bīstamu draudu un par vienu no pašlaik tehnoloģiski attīstītākajiem šifrētājiem,» norādīja Kaspersky Lab vecākais antivīrusu analītiķis Fjodors Siņicins.]]>


Share this