Szkodnik Critroni szyfruje prywatne dane, ukrywa się dzięki sieci Tor
Choć założenia i pierwotne cele anonimowej sieci Tor były bardzo piękne i szlachetne, w praktyce bywa ona wykorzystywana również przez osoby ze złymi zamiarami. Francuski ekspert zajmujący się zabezpieczeniami znalazł i przeanalizował nowe zagrożenie, które korzysta z tej właśnie sieci. Malware szyfruje dane użytkownika, a następnie wymusza zapłacenie okupu w formie Bitcoin za odzyskanie dostępu. Cała klasa tego typu szkodników została określona mianem „Onion”, bo wydaje się, że Tor jeszcze niejednokrotnie posłuży do przeprowadzania podobnych ataków.
Ransomware tego typu, bo właśnie do takiej grupy zalicza się najnowsze znalezisko, nie jest nowym wynalazkiem. Już rok temu świat padł na kolana pod naporem Cryptolockera, który spowodował bezpowrotną utratę dostępu do wielu danych. Jego atak i długofalowe skutki zupełnie przysłoniły wiele innych debiutujących szkodników, bo rzadko kiedy coś miało taką siłę – przełamywał on zabezpieczenia popularnych edycji systemów Windows, a następnie szyfrował znajdujące się na dysku dane użytkownika przy pomocy algorytmów RSA i AES. Odzyskanie dostępu do nich wymagało zapłacenia haraczu, w przeciwnym wypadku użytkownikowi pozostało jedynie ich usunięcie, bo możliwości odszyfrowania przekraczają możliwości typowych komputerów. Ofiarą Cryptolockera swego czasu padli także policjanci z pewnego amerykańskiego posterunku… okup zapłacili.
Nowy szkodnik przez wiele firm i instytucji jest oznaczany jako Critroni/CTB-Locker, można go nazwać sukcesorem zeszłorocznego agresora i jemu podobnych tworów. Jest on sprzedawany na forach dla osób zainteresowanych malware, początkowo służył rosyjskim kryminalistom. Obecnie atakuje już maszyny na całym świecie. Co jest w nim takiego wyjątkowego? Szkodnika nie można nazwać niewielkim, bo realizuje on wiele niebezpiecznych funkcji, poza tym jest sterowany przez atakujących za pośrednictwem sieci Tor. Powoduje to, że teoretycznie niemożliwym staje się wytropienie atakującego, a następnie zamknięcie serwera. Po zaszyfrowaniu danych wyświetla on komunikat ostrzegający, że użytkownik ma 72 godziny na opłacenie okupu. Po tym czasie dane zostaną bezpowrotnie zniszczone.
Co ważne, połączenie z siecią następuje już po zaszyfrowaniu danych. Jeżeli w obawie przed tym szkodnikiem postanowicie zablokować sieć Tor uprzedzamy, że na nic się to nie zda – zablokujecie sobie jedynie możliwość wykonania płatności, same dane nadal będą mogły zostać zaszyfrowane, a co za tym idzie, stracicie do nich dostęp. Szkodnika nie da się zarazem wcześniej wykryć na podstawie tego, że łączy się on ze zdalnym hostem w anonimowej sieci. Przechwytywanie danych również nic nie da, bo nadal nie pozwalają one na odszyfrowanie danych. Zagrożenie najprawdopodobniej pochodzi z Rosji, obecnie infekcje zdażają się także w Niemczech, Izraelu, Libii czy Zjednoczonych Emiratów Arabskich.
Jak można obronić się przed Critroni? Najważniejsza w takich wypadkach jest kopia zapasowa. Oprogramowanie antywirusowe może nie wykryć kolejnej mutacji szkodnika, zapora na nic nam się nie zda i dopiero oprogramowanie typu HIPS będzie w stanie poinformować o niebezpiecznych działaniach. To jednak nie jest zbyt popularne wśród niezaawansowanych użytkowników. Oczywiście antywirusy warto stosować, pomimo tego, że coraz częściej korzystają z tego samego silnika skanującego. Co zaś się tyczy sieci Tor, trudno ją obwiniać za to, że daje idealne warunki do powstawania tego typu „oprogramowania”.