Cryptolocker malware (Trojan.Cryptolocker) θεωρήθηκε επιτυχία από τους εγκληματίες του διαδικτύου. Όμως όλα δείχνουν ότι δεν σταματούν εκεί. Οι developers κακόβουλου λογισμικού έχουν στρέφουν την προσοχή τους στην ανάπτυξη νέων ransomcrypt malware. The sophisticated CryptoDefense (Trojan.Cryptodefense) is such a malicious software.
The CryptoDefense appeared in late February 2014, and since then Symantec's telemetry shows that its software companys has blocked over 11.000 unique CryptoDefense infections. Using the Bitcoin addresses provided by the malware creators to pay the ransoms and looking at publicly available information of Bitcoin blockchains, the company estimates that this malware netted the cybercriminals over $34.000 in just one month (according to value of Bitcoin at the time of writing).
"Imitation is not only the most sincere form of flattery but also the most sincere form of learning" - George Bernard Shaw.
CryptoDefense, in essence, is an advanced hybrid design that incorporates a number of effective techniques previously used by other malware developers to extract money from the victims. These techniques include the use of Tor and Bitcoins for anonymity, file encryption using RSA 2048 powerful encryption, and the use of pressure tactics such as increased cost threats if ransoms are not paid in a short time. Symantec has noticed that CrytoDefense arrives via e-mail. If someone makes the mistake and opens the file, (usually .PDF) CryptoDefense will be installed on his computer and will immediately attempt to communicate with one of the following remote domains. Μόλις η απομακρυσμένη τοποθεσία απαντήσει, το malware ενεργοποιεί την κρυπτογράφηση και αποστέλλει το ιδιωτικό κλειδί πίσω στον διακομιστή. Μόλις ο απομακρυσμένος διακομιστής επιβεβαιώνει την παραλαβή του ιδιωτικού κλειδιού αποκρυπτογράφησης, το malware στέλνει ένα screenshot της επιφάνειας εργασίας του μολυσμένου υπολογιστή, στον κακόβουλο χρήστη. Μόλις κρυπτογραφήσει τα αρχεία του θύματος, το CryptoDefense δημιουργεί τα ακόλουθα αρχεία σε κάθε φάκελο που περιέχει κρυπτογραφημένα αρχεία: HOW_DECRYPT.TXT HOW_DECRYPT.HTML HOW_DECRYPT.URL Οι συγγραφείς του κακόβουλου λογισμικού χρησιμοποιούν το network Tor για την καταβολή των λύτρων. Αν το θύμα δεν είναι εξοικειωμένο με το δίκτυο Tor, παρέχουν περαιτέρω οδηγίες για το πώς να κατεβάσουν ένα Tor browser και πως να πληκτρολογήσουν το μοναδική address Tor για να πάνε στην ιστοσελίδα πληρωμής. Η χρήση του δικτύου Tor κρύβει την τοποθεσία της ιστοσελίδας και παρέχει ανωνυμία στον επιτιθέμενο. Μόλις ο χρήστης ανοίξει τη μοναδική προσωπική σελίδα πληρωμής, και “καταθέσει” τα λύτρα θα λάβει το μοναδικό κλειδί αποκρυπτογράφησης. Αξίζει να σημειωθεί ότι τα λύτρα που ζητάνε οι developers του malware είναι γύρω στα 500 δολάρια και πρέπει να καταβληθούν εντός τεσσάρων ημερών αλλιώς η τιμή διπλασιάζεται. Η χρήση αυτής της τακτικής πίεσης χρόνου από τους εγκληματίες του κυβερνοχώρου δίνει στα θύματα λιγότερο χρόνο να αντιδράσουν.