ظهور جانشین برای باجگیر Cryptolocker

بدافزار جدیدی از نوع “باجگیرها” یا Ransomware در حال انتشار است که به مراتب قوی تر و مقاوم تر از بدافزار باجگیر و مشهور Cryptolocker می باشد. این بدافزار جدید CTB-Locker یا Critroni نامگذاری شده است.

باجگیر جدید که CTB-Locker نامگذاری شده، مخفف Curve-Tor-Bitcoin Locker است و در حقیقت، نشان دهنده سه مشخصه اصلی این بدافزار می باشد؛ استفاده از الگوریتم رمزگذاری به نام Elliptic Curve Cryptography، استفاده از سامانه نرم افزاری Tor برای ناشناس ماندن و استفاده از واحد پول سایبری Bitcoin برای دریافت باج از قربانیان خود.  البته ضدبدافزار مایکروسافت نام Critroni را بر روی این بدافزار گذاشته و در هنگام شناسایی، از این نام استفاده می کند.

نویسنده این بدافزار جدید مدتی است که آنرا بر روی سایت های زیرزمینی روسی برای فروش عرضه کرده است و برای بازار گرمی نیز به ایرادها و ضعف های Cryptolocker اشاره می کند که در این بدافزار جدید برطرف و اصلاح شده اند.

فعالیت بدافزار Cryptolocker اخیرا با مشارکت و همکاری شرکتهای امنیتی و مقامات قضایی آمریکا متوقف شد و سرورهای فرماندهی آن در اختیار مقامات دولتی قرار گرفت.

بدافزارهای باجگیر مانند Cryptolocker و CTB-Locker پس از آلوده کرده کامپیوتر قربانی، فایلهای اطلاعاتی در کامپیوتر آلوده را رمزگذاری می کنند و سپس از کاربر برای رمزگشایی فایلها، درخواست پول یا باج می کنند.  

مشابه Cryptolocker، بدافزار باجگیر CTB-Locker یک کلید عمومی و یک کلید خصوصی برای رمزگذاری فایل های کامپیوتر قربانی تولید می کند. کلید عمومی بر روی کامپیوتر قربانی باقی می ماند و کلید خصوصی که برای رمزگشایی فایلهای رمز شده لازم است، به یک سرور خاص منتقل می شود. بدافزار CTB-Locker از سامانه نرم افزاری TOR برای ارتباط با این سرور استفاده می کند. سامانه TOR امکان پنهان نمودن محل و نشانی IP سرور را فراهم می آورد. بدین ترتیب، شرکتهای امنیتی و مقامات دولتی به سادگی نخواهند توانست سرور را ردیابی کرده و کنترل آنرا به دست بگیرند.

تور (The Onion Router یا TOR) سامانه‌ای است که برای ناشناس ماندن کاربران در محیط اینترنت به کار می‌رود و از یک نرم‌افزار و شبکه‌ای از سرورها تشکیل شده و می‌تواند داده‌هایی از کاربران را، مانند جایگاه و نشانی IP، پنهان کند.

بدافزار جدید CTB-Locker از یک الگوریتم قوی تر و سریع تر برای رمزگذاری فایلهای قربانی استفاده می کند. همچنین بر خلاف Cryptolocker که برای رمزگذاری فایلها نیاز به ارتباط با سرور فرماندهی داشت، باجگیر جدید ابتدا تمام عملیات رمزگذاری را روی کامپیوتر قربانی انجام داده و در پایان با سرور فرماندهی جهت انتقال سریع اطلاعات و ارسال کلید رمزگذاری، ارتباط برقرار می کند.

بدین ترتیب، ابزارهای امنیتی که با کنترل ترافیک شبکه متوجه فعالیت بدافزارها می شوند، زمانی فعالیت CTB-Locker را در ترافیک شبکه تشخیص خواهند داد که کار از کار گذشته و فایلها رمزگذاری شده اند. مدیران شبکه هم که اقدام به مسدود کردن ارتباط با سامانه TOR نمایند، نمی توانند مانع از فعالیت رمزگذاری بدافزار شوند. 

بدافزار باجگیر CTB-Locker تا همین اواخر فقط در کشورهای روسی زبان مشاهده شده بود ولی جدیداً گونه هایی از این بدافزار شناسایی شده اند که پیام های باجگیری را به زبان انگلیسی نمایش می دهند. این نکته نشان دهنده انتشار گسترده تر بدافزار CTB-Locker در کشورهای مختلف جهان است.