Wirus szyfrujący dane na dysku i komunikujący się przez sieć TOR

Wakacje w pełni, wielu z nas wyjechało na zasłużone urlopy zapominając o trudach zwykłego życia, jednak cyberprzestępcy w swoich ciemnych piwnicach pracują w pocie czoła nad coraz to nowszymi zagrożeniami. Nie tak dawno informowaliśmy Was o nowym rodzaju wirusa, który potrafi się ukryć w systemowym rejestrze. Sztuczka bardzo cwana, ponieważ pomimo usunięcia pliku z właściwym kodem wirusa odpowiednie skrypty nadal znajdują się w rejestrze i co jakiś czas ponownie pobierają szkodnika na nasz dysk twardy. Inny typ złośliwego oprogramowania to ransomwar, które jest już wszystkim znane. Jest to grupa szkodników, która szyfruje dane znajdujące się na naszym dysku twardym i w pewnym momencie wyświetla komunikat z żądaniem zapłacenia okupu. Jeżeli nie wpłacimy odpowiednie gotówki, nasze dane staną się bezwartościowe, ponieważ zostaną na zawsze zaszyfrowane, a wirus wyparuje z dysku.

Tego typu oprogramowanie zazwyczaj komunikuje się z odpowiednim serwerem i można w odpowiedni sposób wyśledzić kanały, czyli dotrzeć do cyberprzestępcy, który złośliwym programem może zdalnie sterować. A jakby do tego wszystkiego dorzucić sieć TOR, która pozwala swoim użytkownikom zachować anonimowość?

Nowy wirus nosi nazwę Critroni/CTB-Locker i oprócz tego, że szyfruje nasze dane silnym algorytmem szyfrowania to dodatkowo ze swoim zdalnym serwerem łączy się z wykorzystaniem sieci TOR. Ostatni zabieg ma na celu znaczne utrudnienie analizy trasy pakietu, przez co znacznie trudniej jest odnaleźć i zamknąć odpowiedni serwer bądź grupę serwerów. Wirus został dodatkowo tak skonstruowany, że połączenie przy pomocy sieci TOR odbywa się dopiero po zaszyfrowaniu danych na dysku. Nic w takiej sytuacji nie pomoże nam blokada Tora, można rzecz, że dodatkowo ten zabieg może nam utrudnić życie.

Czy sieć TOR jest zatem niebezpieczna?

Wielu użytkowników zaczyna myśleć, iż sieć TOR jest przez to niebezpieczna. Nic bardziej mylnego. Wspomnianym złośliwym oprogramowaniem można się zarazić poprzez standardowe przeglądanie sieci, ponieważ zwykle jest on pobierany przez dodatkowe skrypty, a sieć TOR jest tylko wykorzystywana do komunikacji wirus – serwer. Bezpieczeństwo sieci nadal pozostaje na takim samym poziomie jaki jest obecnie.

Jak się zabezpieczyć?

W razie zaszyfrowania plików możemy próbować zapłacić okup, jednak nie wiadomo, czy po przelaniu gotówki odzyskamy dostęp do naszych danych. Warto więc w takiej sytuacji zapisywać kopie zapasowe na zewnętrznych dyskach twardych bądź na płytach DVD. Tego typu wirusy zazwyczaj nie tylko szyfrują dane znajdujące się na dyskach twardych, ale i wyszukują zasoby sieciowe oraz podłączone zewnętrzne nośniki danych. Warto więc wyposażyć się w zewnętrzny dysk twardy i od czasu do czasu kopiować pliki oraz odłączać go od komputera.

Źródło: Malware don't need Coffee