Известный вирус-блокировщик CTB-Locker использует поле для записи метаданных биткойн транзакции для хранения ключей дешифровки.

Авторы вирусного кода используют блокчейн биткойна, который служит публичной книгой транзакций, для доставки ключей своим жертвам. Это убирает необходимость для мошенников поддерживать свою инфраструктуру веб-сайтов. Впервые такой подход замечен в недавней версии CTB-Locker.

Этот вирус уже долгое время охотился за машинами с ОС Windows, однако новый вариант, написанный на PHP, способен заражать вебсайты. Он впервые появился в феврале и внес некое разнообразие в эволюцию этого вируса.

Исследователи из компании веб-безопасности Sucuri начали изучать вирус, когда в нем появилась возможность расшифровать 1 любой файл на выбор бесплатно. В марте, однако, авторы вируса сменили условия и начали запрашивать по 0.0001 BTC за тестовый файл. Эта сумма — 0.0001 BTC — равна текущей стандартной комиссии сети.

Программа дешифровки в оригинальном PHP вирусе включала в себя скрипт, называемый access.php, он служил шлюзом к серверной части атакующих. Этот скрипт-посредник хранился на нескольких взломанных веб-сайтах и был необходим, чтобы получить ключ дешифровки после того, как жертвы его оплатят.

Аналитики Sukuri сообщают: такая схема была ненадежной, потому как взломанные сайты могли быть очищены их владельцами. Хакерам, скорее всего, надоело постоянно обновлять список шлюзов для вируса.

Из-за этого, создатели CTB-Locker прибегли к новой идее: использовать сам блокчейн биткойна для доставки ключей дешифровки. Такое новое поведение было замечено в мартовской версии вируса.

Техника полагалась на поле, называемое OP_RETURN, которое внедрили в протокол Биткойна в 2014 году, чтобы позволить транзакциям сохранять небольшие биты текста, или метаданные.

Новый вариант вируса CTB-Locker генерирует уникальный биткойн-адрес для каждого зараженного сервера. Как только жертва заплатит выкуп путем отправки нужного количества биткойнов на указанный адрес, атакующие сгенерируют ложную транзакцию с того самого кошелька, к которой прикрепят ключ дешифровки в виде метаданных в поле OP_RETURN.

Транзакция не будет подтверждена в системе биткойн, но она будет записана блокчейном, после чего можно увидеть ее данные на таких сайтах как blockexplorer.com или blockchain.info.

Скрипт-шифровальщик, в свою очередь, использует API от blockexplorer.com для проверки истории транзакций по кошельку, привязанному к нему. Он считывает ключ дешифровки из поля OP_RETURN в ложной транзакции, следующей за оплатой выкупа.

«Таким образом, вместо использования ненадежных взломанных сайтов, мартовская версия вируса вымогателя читает ключи напрямую из публичного и куда более надежного блокчейна», – отметили исследователи Sucuri в своем блоге. «В этом состоит красота биткойн транзакций – все публично и прозрачно, но в то же время возможно работать анонимно и без следов, ведущих к реальным IP».

Так или иначе, исследователи не заметили, чтобы кто-то из жертв отправлял платежи на адреса вымогателей. Зачастую, владельцы сайтов восстанавливали предыдущие версии своих сайтов из Backup.

Источники: Softpedia, PCWorld

Tips: 1Ms1NaPmyASdyuFj7mWuCUsFWQYqhFCMXo