Chimera Virus sử dụng một Ngang hàng giải Mã dịch Vụ

 

Hơn hai tuần qua đã có rất nhiều báo chí về việc Chimera Virus và các mối đe dọa đến xuất bản của trực tuyến dữ liệu. Dù đây là một mối đe dọa, thực tế là Chimera không có khả năng xuất bản các tập tin bất cứ nơi nào. Này, chiến thuật sợ hãi, mặc dù không phải là những gì làm cho Chimera Virus thú vị. Thay vào đó, nó là của nó phương pháp mới để phân phối giải mã khóa để trả nạn nhân cách sử dụng các Bitmessage ngang hàng dụng tin nhắn.

Không giống như virus nhiễm trùng, Chimera không có một TOR trang web mà người có thể quản lý thanh toán và tải về một đôi. Thay vào đó, Chimera sử dụng Bitmessage ngang hàng dụng tin nhắn để giao tiếp giữa máy tính của nạn nhân và phần mềm của nhà phát triển lệnh và kiểm máy chủ. Này, tạo ra một giải mã dịch vụ mà là vô cùng di động, an toàn và khó khăn, nếu không, đi xuống như tất cả các đồng nghiệp trong mạng đang giúp đỡ để phân phối chìa khóa.

Để hiểu rõ hơn về làm thế nào Chimera làm việc đầu tiên chúng ta cần một mồi nhanh trên Bitmessage. Bitmessage là một ngang hàng nhắn tin cho phép một người dùng để nặc danh gởi tin nhắn được mã hóa, mà chỉ có thể được giải mã bằng những nhận. Khi một tin nhắn được gửi đến ai đó trên Bitmessage nó là mã hóa bằng địa chỉ của người nhận, đó cũng là công chúng của họ khóa mật mã, và gửi đến tất cả các khách hàng trên Bitmessage ngang hàng mạng. Khi một Bitmessage khách hàng nhận được tin nhắn nó cố gắng để giải mã nó sử dụng riêng của họ chìa khóa. Nếu một khách hàng có thể giải mã các tin nhắn sau đó các khách hàng biết các tin nhắn được dành cho họ và cho thấy nó trong Hộp thư. Kể từ khi các tin nhắn được chuyển qua mỗi khách hàng kết nối đến mạng lưới của người gửi vị trí và nhận dạng được giữ kín khác hơn của họ không nhận dạng cá nhân địa chỉ.

Cảm ơn để phân tích thực hiện bởi Hiếu Wosar của giải đấu của truyền thuyết, chúng tôi có thể xem làm thế nào Chimera sử dụng Bitmessage như nó phương pháp truyền thông với virus phát triển. Khi Chimera lây nhiễm một người sử dụng nó sử dụng một nhúng PyBitmessage ứng dụng để gửi một Bitmessage đến sự phát triển có chứa thông tin như những nạn nhân của riêng tư quan trọng của nạn nhân phần cứng, ID và các nạn nhân của thanh toán bitcoin địa chỉ. Theo Bảo, “phần cứng ID là một băm dựa trên địa phương Nic trong hệ thống đó, khối số của khởi động khối lượng, và máy tính, tên”.

Hão huyền, sau đó sẽ bắt đầu để mã hóa sở dữ liệu, tập tin nó tìm thấy trên ổ đĩa được kết nối. Phân tích của Nathan Scott cho thấy rằng chỉ có các tập tin với các sau mở được mã hóa:

Sau khi các tập tin được mã hóa, Chimera sẽ hiển thị ransom lưu ý điều đó giải thích cho những gì đã xảy ra với những nạn nhân của tập hướng dẫn làm thế nào để làm cho một thanh toán, và một liên kết đến những đôi mà cần phải chạy để giải mã của các tập tin khi thanh toán đã được thực hiện.

Khi một người sử dụng tải và cài đặt đôi, nó sẽ được cài đặt vào C:Program các Tập tin (x 86)Chimera Đôi mục cùng với các Bitmessage ứng dụng. Một khi bắt đầu, nó tìm kiếm tập tin được mã hóa và sau đó ngồi trên một trang chờ đợi một thanh toán được thực hiện. Nó có thể phát hiện khi thanh toán có được thực hiện bởi kỳ kết nối đến Blockchain.info và kiểm tra sự cân bằng trong những nạn nhân của giao bitcoin địa chỉ.

Khi thanh toán đã được phát hiện, các màn hình sẽ thay đổi để cho biết rằng một thanh toán được thực hiện và rằng các bạn nên để đôi chạy cho đến khi chìa khóa được gửi đến nó. Tại thời điểm này, đôi cũng tạo ra một Bitmessage đăng ký theo địa chỉ CỬ-2cWsXQDYSueEKCtcJS8wzAka3KiYYYC9rb và nhãn nó PaymentBroadcast. Một Bitmessage đăng ký cho một chủ thuê bao phát sóng tin nhắn cho mọi người đăng kí. Trong trường hợp này các độc hại phát triển sẽ sử dụng nó để gửi một phát sóng thông báo rằng có sự riêng tư trả chìa khóa cho nạn nhân có không giải mã các tập tin của họ sơ.

Khi độc hại phát triển xác định rằng một thanh toán có được thực hiện, họ tạo ra một dòng sản phẩm mới trong các tin nhắn, rằng có những nạn nhân là phần cứng ID và SỐ 64 mã hóa khóa riêng tách ra bởi một tràng và gửi nó đến cho mọi người đăng ký của PaymentBroadcast đăng ký. Một ví dụ về một phần cứng ID và giải mã khóa cặp có thể được nhìn thấy sau.

Như các bạn có thể nhìn thấy trong các thông điệp trên các phần cứng, ID và các riêng tư chìa khóa giải mã được tách ra bởi một tràng. Trong suốt khoảng thời gian đó Hiếu đã được giám sát này đăng ký phát sóng, có 13 tên được phân bổ như sau.

Khi những đôi nhận được đăng ký phát sóng nó phá vỡ các tin nhắn ngoài vào các phần cứng khác nhau ID và khóa riêng cặp và kiểm tra nếu các nạn nhân là phần cứng ID trận đấu nào của người gửi ở PaymentBroadcast. Nếu phần cứng của họ ID được phát hiện, nó giải mã các khoá giải mã sẽ gửi một tin nhắn lại cho độc hại phát triển để chỉ ra rằng các phím đã được nhận.

Bạn có thể thấy những mã đó giải mã các phương pháp đăng ký, chiết xuất chìa khóa, và thông báo cho sự phát triển dưới đây:

Khi những đôi có thể lấy chìa khóa cho một nạn nhân, nó sẽ tự động bắt đầu giải mã được mã hóa các tập tin.

Như ông có thể thấy, cách sử dụng Bitmessage là một phương pháp mới để quản lý phân phối của giải mã tên là nó không yêu cầu một chuyên chủ giấu danh tính của virus phát triển, và là rất khó khăn, nếu không, đi xuống. Tại thời điểm này viết nó không giống như những Chimera Virus là hoạt động nữa, nhưng với sự thành công của phân phối này, phương pháp, tôi sẽ không ngạc nhiên khi thấy tương lai độc hại mà sử dụng nó.

Ý kiến của bạn