Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
quoideneuf1.over-blog.com

Ransomware: Critroni le remplaçant de Cryptolocker ?

21 Juillet 2014 , Rédigé par nicko Publié dans #informatique

Les cybercriminels se répandent avec un nouveau programme de ransomware de cryptage de fichier qui est plus puissant et plus résistant que Cryptolocker, une menace stoppée récemment par le ministère de la Justice des États-Unis.

Ransomware: Critroni le remplaçant de Cryptolocker ?
Ransomware: Critroni le remplaçant de Cryptolocker ?

La nouvelle menace de ransomware est appelé CTB-Locker (Curve-Tor-Bitcoin Locker), mais les produits anti-malware de Microsoft le détecte comme Critroni.A. Son créateur a fait de la publicité du programme à d'autres cybercriminels sur les forums en langue russe depuis le milieu de Juin et il semble qu'il a essayé de corriger la plupart des défauts de Cryptolocker.

Critroni utilise un algorithme de cryptage de fichier basé sur la cryptographie à courbe elliptique, que selons les dires du créateur il serait nettement plus rapide que les systèmes de cryptage utilisés par d'autres menaces de ransomware. Cela rend également le décryptage des fichiers affectés impossible sans payer la rançon, s'il n'y a pas des défauts de mise en œuvre.

Comme Cryptolocker, Critroni génère une paire de clés publique et privée pour chaque système infecté. La clé publique est stockée sur l'ordinateur infecté et remis à la victime, qui est alors demandé de payer une rançon en Bitcoin afin de récupérer les fichiers.

Ransomware: Critroni le remplaçant de Cryptolocker ?

La clé privée, qui est utilisé pour décrypter les fichiers est stocké sur un serveur de commande et de contrôle à distance qui, dans le cas de Critroni, ne peut être accessible que via le réseau d'anonymat Tor. C'est une précaution que le créateur a pris afin de rendre difficile pour les organismes d'application de la loi ou des chercheurs en sécurité d'identifier et d'arrêter le serveur.

Au début de Juin, le ministère de la Justice des état unis ainsi que les organismes d'application de la loi de plusieurs autres pays ont pris le contrôle du botnet Zeus Gameover qui distribuait le ransomware Cryptolocker. Pendant l'opération, les autorités ont également saisi les serveurs de commande et de contrôle Cryptolocker.

"Cryptolocker doit communiquer avec son commandement et le contrôle des infrastructures afin de crypter les ordinateurs nouvellement infectés", a déclaré le ministère de la Justice, un tribunal fédéral de Pennsylvanie le 11 Juillet à une mise à jour de statut . «À compter d'aujourd'hui, l' injonction à ordonnée [...] de frappé l'ensemble et a déconnecter l'infrastructure de Cryptolocker, et a ainsi le neutralisé.

Pour éviter un retrait similaire Critroni a été conçu pour compléter l'opération de chiffrement de fichier localement avant la connexion au serveur de commande et de contrôle. Cela rend également difficile pour les produits de sécurité réseau, la détection rapide et pour le bloquage via l'analyse de trafic.

Le blocage du trafic Tor empêche seulement l'utilisateur de payer, pas le programme de fonctionner, à dit l'auteur de Critroni dans son annonce.

Le nouveau programme de ransomware était initialement prévu pour les utilisateurs russophones, mais des Variantes vu récemment affiches également le message de rançon en anglais, ce qui suggère que la menace est maintenant distribué plus largement, a déclaré un chercheur malware indépendant connu en ligne comme Kafeine dans un billet de blog vendredi. "Il semble y avoir une forte pièce, bien pensé de logiciels malveillants."

Malgré le succès de la MJ contre Cryptolocker, tous les chercheurs en sécurité estiment qu'ils n'y a plus de menace. La réclamation du ministère de la Justice comme quoi la menace a été neutralisée devrait être examinée car la saisie des serveurs de commande et de contrôle n'a impacté les échantillons de Cryptolocker distribués par le réseau de zombies Gameover Zeus, dit Tyler Moffitt, un chercheur en sécurité à Webroot dans un billet de blog jeudi. "Tous les échantillons actuellement déployés par les différents réseaux de zombies qui communiquent avec différents serveurs de commande et de contrôle ne sont pas affectés par ce siège."

Source: pcworld

Partager cet article

Repost 0
Pour être informé des derniers articles, inscrivez vous :

Commenter cet article