Zudem ist die Verschlüsselung viel stärker, sodass man kaum ohne den richtigen Schlüssel mehr an seine Daten gelangen kann. Zum zweiten versteckt Critroni die Losung besser. Wie die fiese Software arbeitet hat kürzlich computerworld.ch berichtet. Wie Cryptolocker verwendet auch der CTB-Locker ein Paar aus öffentlichem und privatem Schlüssel. Während der öffentliche Key auf dem System des Opfers gespeichert wird, ist der private Schlüssel - und nur mit diesem lassen sich die Dateien nach der Bezahlung der Erpressersumme in Bitcoins entschlüsseln - auf einem Kommandoserver abgelegt, der nur über das anonyme Netzwerk Tor erreicht werden kann. Dies ist eine geschickte Vorkehrung der Cyberkriminellen, denn damit wird es für die Strafverfolger oder Security-Spezialisten ungemein schwierig, den Server zu identifizieren und schlussendlich zu schliessen.
Darüber hinaus Critroni-Urherber dafür gesorgt, dass ihrer Malware nicht das gleiche Schicksal ereilt wie Bitlocker. Dieser konnte ausser Gefecht gesetzt werden, in dem das zugehörige Botnet zerschlagen wurde. So verschlüsselt der CTB-Locker die Dateien lokal, bevor er sich mit dem Kommando-Server in Verbindung setzt. Wird nun das Tor-Netz blockiert, wird nur die Zahlung des Lösegeldes verunmöglicht, nicht aber die Funktionsweise von Critron. Darüber hinaus führt das lokale Wirken der Malware, also die mangelnde Kommunikation mit dem Kontroll-Server, dazu, dass viele Netzwerk-Sicherheits-Produkte, die den Verkehr analysieren, keine Anomalien feststellen können.
Eine erste Version von Critroni richtete sich hauptsächlich an russisch-sprechende Opfer. Mittlerweile werden die Erpressungs-Mitteilungen auch auf Englisch verschickt.
Darüber hinaus Critroni-Urherber dafür gesorgt, dass ihrer Malware nicht das gleiche Schicksal ereilt wie Bitlocker. Dieser konnte ausser Gefecht gesetzt werden, in dem das zugehörige Botnet zerschlagen wurde. So verschlüsselt der CTB-Locker die Dateien lokal, bevor er sich mit dem Kommando-Server in Verbindung setzt. Wird nun das Tor-Netz blockiert, wird nur die Zahlung des Lösegeldes verunmöglicht, nicht aber die Funktionsweise von Critron. Darüber hinaus führt das lokale Wirken der Malware, also die mangelnde Kommunikation mit dem Kontroll-Server, dazu, dass viele Netzwerk-Sicherheits-Produkte, die den Verkehr analysieren, keine Anomalien feststellen können.
Eine erste Version von Critroni richtete sich hauptsächlich an russisch-sprechende Opfer. Mittlerweile werden die Erpressungs-Mitteilungen auch auf Englisch verschickt.
