Авторы вредоносного ПО используют блокчейн для доставки ключей

CTB-Locker in russian

Известный вирус-блокировщик CTB-Locker использует поле для записи метаданных биткойн транзакции для хранения ключей дешифровки.

Авторы вирусного кода используют блокчейн биткойна, который служит публичной книгой транзакций, для доставки ключей своим жертвам. Это убирает необходимость для мошенников поддерживать свою инфраструктуру веб-сайтов. Впервые такой подход замечен в недавней версии CTB-Locker.

Этот вирус уже долгое время охотился за машинами с ОС Windows, однако новый вариант, написанный на PHP, способен заражать вебсайты. Он впервые появился в феврале и внес некое разнообразие в эволюцию этого вируса.

Исследователи из компании веб-безопасности Sucuri начали изучать вирус, когда в нем появилась возможность расшифровать 1 любой файл на выбор бесплатно. В марте, однако, авторы вируса сменили условия и начали запрашивать по 0.0001 BTC за тестовый файл. Эта сумма — 0.0001 BTC — равна текущей стандартной комиссии сети.

ctb-locker-ransomware-uses-bitcoin-blockchain-to-store-deliver-decryption-keys-503017-2

Программа дешифровки в оригинальном PHP вирусе включала в себя скрипт, называемый access.php, он служил шлюзом к серверной части атакующих. Этот скрипт-посредник хранился на нескольких взломанных веб-сайтах и был необходим, чтобы получить ключ дешифровки после того, как жертвы его оплатят.

Аналитики Sukuri сообщают: такая схема была ненадежной, потому как взломанные сайты могли быть очищены их владельцами. Хакерам, скорее всего, надоело постоянно обновлять список шлюзов для вируса.

Из-за этого, создатели CTB-Locker прибегли к новой идее: использовать сам блокчейн биткойна для доставки ключей дешифровки. Такое новое поведение было замечено в мартовской версии вируса.

Техника полагалась на поле, называемое OP_RETURN, которое внедрили в протокол Биткойна в 2014 году, чтобы позволить транзакциям сохранять небольшие биты текста, или метаданные.

Новый вариант вируса CTB-Locker генерирует уникальный биткойн-адрес для каждого зараженного сервера. Как только жертва заплатит выкуп путем отправки нужного количества биткойнов на указанный адрес, атакующие сгенерируют ложную транзакцию с того самого кошелька, к которой прикрепят ключ дешифровки в виде метаданных в поле OP_RETURN.

Транзакция не будет подтверждена в системе биткойн, но она будет записана блокчейном, после чего можно увидеть ее данные на таких сайтах как blockexplorer.com или blockchain.info.

Скрипт-шифровальщик, в свою очередь, использует API от blockexplorer.com для проверки истории транзакций по кошельку, привязанному к нему. Он считывает ключ дешифровки из поля OP_RETURN в ложной транзакции, следующей за оплатой выкупа.

«Таким образом, вместо использования ненадежных взломанных сайтов, мартовская версия вируса вымогателя читает ключи напрямую из публичного и куда более надежного блокчейна», – отметили исследователи Sucuri в своем блоге. «В этом состоит красота биткойн транзакций – все публично и прозрачно, но в то же время возможно работать анонимно и без следов, ведущих к реальным IP».

Так или иначе, исследователи не заметили, чтобы кто-то из жертв отправлял платежи на адреса вымогателей. Зачастую, владельцы сайтов восстанавливали предыдущие версии своих сайтов из Backup.

Источники: Softpedia, PCWorld

Tips: 1Ms1NaPmyASdyuFj7mWuCUsFWQYqhFCMXo



Categories: Безопасность, Инфраструктура, Криминал, Происшествия, Разработчикам, Сообщество, Технологии

Tags: , , , , , , ,

5 replies

  1. Транзакция не будет подтверждена в системе биткойн, но она будет записана блокчейном

    Либо записана в блокчейн и подтверждена, либо не подтверждена.

Trackbacks

  1. Авторы вредоносного ПО используют блокчейн для доставки ключей | Заработок онлайн доступный каждому
  2. Лавина фишинговых атак на Биткойн кошельки спровоцирована недавним взлётом цены Биткойна – Bit•Новости
  3. Лавина фишинговых атак на Биткойн кошельки спровоцирована недавним взлётом цены Биткойна | Заработок онлайн доступный каждому
  4. Авторы вредоносного ПО используют блокчейн для доставки ключей - Bitcoin Новости 24/7

Поделитесь своими мыслями

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s