Ένα νέο ransomware με το όνομα Critoni, έχει εμφανιστεί και διατίθεται προς πώληση σε υπόγεια forums. Οι προμηθευτές το διαφημίζουν σαν μια νέα γενιά Cryptolocker που χρησιμοποιεί το δίκτυο Tor για να κρυπτογραφήσει την επικοινωνία του με το διακομιστή διοίκησης και ελέγχου, ούτως ώστε να παρέχει ανωνυμία.
Ο σκοπός του κακόβουλου κιτ είναι να κρυπτογραφήσει διάφορους τύπους αρχείων, όπως έγγραφα και εικόνες, και μετά να ζητήσει λύτρα για την αποκρυπτογράφηση τους.
Η αγγελία πώλησης ανακαλύφθηκε από ένα Γάλλο ερευνητή ασφάλειας που χρησιμοποιεί το ψευδώνυμο Kafeine. Ο ερευνητής αναφέρει ότι η διαφήμιση έχει δημοσιευτεί από τα μέσα του Ιουνίου και ότι στην αρχή χρησιμοποιήθηκε κυρίως κατά στόχων που βρισκόταν στη Ρωσία. Συνεχίζοντας ο ερευνητής αναφέρει ότι τον τελευταίο καιρό έχει αρχίσει να χρησιμοποιείται και σε άλλες χώρες.
Το malware, έχει ονομαστεί από τους εγκληματίες CTB-Locker (Curve-Tor-Bitcoin Locker), και ανιχνεύεται σαν Critoni.A από τη Microsoft. Η τιμή αγοράς του φτάνει τα 3.000 δολάρια.
Το Critoni διαφημίζεται ότι χρησιμοποιεί επίμονη κρυπτογραφία βασισμένη σε ελλειπτικές καμπύλες, κάτι το οποίο καθιστά αδύνατη την αποκρυπτογράφηση του αρχείου. Τα κλειδιά κρυπτογράφησης δημιουργούνται τυχαία.
Όπως υποδηλώνει το όνομα, τα λύτρα πρέπει να καταβληθούν σε ψηφιακά νομίσματα Bitcoin, προκειμένου να αποφύγουν οι εγκληματίες τον εντοπισμό της συναλλαγής. Αν το θύμα δεν διαθέτει bitcoins, οι εγκληματίες παρέχουν οδηγίες για το πώς να αποκτήσουν.
Η δημοσίευση στο υπόγειο forum αναφέρει επίσης ότι η διαδικασία κρυπτογράφησης μπορεί να πραγματοποιηθεί και χωρίς σύνδεση στο Internet.
Σύμφωνα με τους ειδικούς ασφαλείας της Kaspersky, αυτό είναι το πρώτο cryptomalware που χρησιμοποιεί το δίκτυο Tor για να έχει επικοινωνία με το διακομιστή διοίκησης και ελέγχου. Αυτό το είδος της προστασίας έχει παρατηρηθεί σε τραπεζικό Trojans.
Angler EK payload : Spambot it seems.
079bf937d5020ca77ff97a5318414f07
2nd Stage Payload : Critroni.A
e89f09fdded777ceba6412d55ce9d3bc