Ransomware-ul CTB-Locker

2015/01/30
Popularitate 1084

Foto:

Ransomware este un software malițios ce împiedică accesul la fișiere, sau chiar la întregul sistem infectat, până la plata unei „recompense”.

Acest tip de malware nu reprezintă o noutate, însă pentru a îngreuna procesul de recuperare a fișierelor, ransomware-urile actuale blochează accesul la documente (documente, fotografii, muzică, filme etc.) prin criptarea asimetrică a acestora.

CTB Locker (Curve-Tor-Bitcoin Locker), cunoscut şi sub numele de Critroni, reprezintă un software maliţios de tipul ransomware al cărui scop este de a cripta fişierele stocate pe sistemul afectat. Acesta a fost lansat la mijlocul lunii iulie a anului 2014 şi vizează toate versiunile de Windows, inclusiv Windows XP, Windows Vista, Windows 7 şi Windows 8.

DESCRIERE

Odată infectat cu acest malware, sistemul afectat va fi scanat, iar fişierele regăsite pe acesta vor fi criptate. Este important de ştiut că dacă în trecut fişierele criptate îşi schimbau extensia în CTB sau CTB2, ultimele versiuni deCTB Locker identificate adaugă fişierelor criptate o extensie aleatoare (spre exemplu .ftelhdd, .ztswgmc, etc.). După criptarea fişierelor, este deschisă o fereastră de răscumpărarea datelor precum cea prezentată mai jos:

În momentul în care un sistem este infectat cu CTB Locker, malware-ul se va stoca în directorul %Temp%sub forma unui executabil cu un nume aleator. Acesta va crea apoi un proces cu nume aleator în Task Schedule care lansează executabilul maliţios de fiecare dată când utilizatorul victimă se autentifică pe sistemul infectat. Iniţial, programul maliţios realizează o scanare prin care urmăreşte identificarea fişierelor de date de pe toate partiţiile, inclusiv dispozitive de stocare externe şi spaţii de stocarea datelor partajate în reţea.

Când CTB Locker identifică un fişier de date valid, acesta îl criptează utilizând algoritmi de criptare cu curbe eliptice. După criptarea tuturor fişierelor de date, malware-ul va deschide fereastra de răscumpărare, va schimba fundalul cu fişierul

%MyDocuments%AllFilesAreLocked.bmp

 şi va crea fişierele

%MyDocuments%DecryptAllFiles.txt şi

%MyDocuments%.html.

Toate modificările aduse de către malware în pasul anterior conţin detalii privind instrucţiunile de urmat pentru plata răscumpărării.

O altă caracteristică a acestui malware este că acesta comunică cu serverele de comandă şi control via TOR, o reţea de tunele virtuale utilizată pentru obţinerea anonimatului, identificarea atacatorilor devenind mult mai dificilă. În plus, de fiecare dată când sistemul infectat este repornit, CTB Locker se va copia sub o altă denumire în %Temp% şi va iniţializa alt proces în Task Scheduler. Aşadar, şansele sunt ridicate ca pe sistemul infectat să existe mai multe copii ale software-ului maliţios.

Varianta nouă de Critroni, și anume CTB Locker, oferă, mai nou, posibilitatea de decriptare a 5 fișiere. În fereastra pricipală ce apare în momentul infecției, prin apăsarea pe Next și apoi pe butonul Search se vor alege în mod aleatoriu 5 fișiere care vor fi decriptate pentru a dovedi victimelor că fișierele pot fi recuperate.

 

IMPACT

Troianul CTB Locker are un impact major deoarece poate duce la pierderea definitivă a datelor stocate pe sistemele infectate.

CTB-Locker va cripta toate fişierele stocate pe driver-ele sistemului dumneavoastră, cele stocate pe dispozitive mobile, inclusiv fișierele aflate pe medii de stocare partajate (numai dacă acestea sunt mapate ca driver pe sistemul infectat).

MĂSURI DE SOLUŢIONARE

Recomandarea CERT-RO este să nu încercați să plătiți recompensa solicitată de atacatori, existând riscul să nu re-dobândiți accesul la fișierele criptate nici după efectuarea plății. De asemenea, plătind recompensa solicitată, contribuiți în mod direct la încurajarea acestui tip de activități frauduloase.        

Prevenirea infectării cu malware-ul CTB Locker

Se poate utiliza Windows Group sau Local Policy Editor pentru a se crea politici de restricționare ce blochează rularea fișierelor .exe când se află în anumite locații. Pentru mai multe informați privint configurarea restricțiilor  (Software Restriction Policies), puteți consulta articolele de la Microsoft :

            http://support.microsoft.com/kb/310791
            http://technet.microsoft.com/en-us/library/cc786941(v=ws.10).aspx

Locațiile folosite de acest tip de infecții sunt :

            C:.exe
            C:UsersAppDataLocal.exe (Vista/7/8)
            C:UsersAppDataLocal.exe (Vista/7/8)
            C:Documents and SettingsApplication Data.exe (XP)
            C:Documents and SettingsLocal Application Data.exe (XP)
            %Temp%

Măsuri aplicabile înainte de criptarea datelor

Dacă descoperiți că ați fost infectați cu malware-ul CTB Locker sau Critroni, ar trebui să executați imediat o scanare completă  cu un program anti-virus sau anti-malware. Din nefericire, în cele mai multe cazuri, infecția nu este observată de utilizatori decât după afișarea mesajului de „ransom”, fișierele fiind criptate în acest moment. Procesul de scanare rămâne util, deoarece acesta va găsi și înlătura malware-ul din sistem.

Pentru a înlătura manual  infecția, va trebui sa ștergeți fișierele .exe din folder-ul  %Temp%  și procesele ascunse din Windows Task Scheduler.

Folosind aceste metode veți putea înlătura infecția, însă fișierele afectate vor rămâne criptate.

Recuperarea fişierelor criptate de CTB Locker

                Dacă vă aflaţi în situaţia în care sistemul dumneavoastră a fost infectat cu troianul CTB Locker, puteţi încerca să vă recuperaţi datele, cel puțin parțial, prin metodele enumerate mai jos.

1.       Backups

Prima opţiune este de a vă recupera datele dintr-un backup recent al acestora.

2.       Software pentru recuperarea datelor

Aparent, CTB Locker realizează o copie a fişierului identificat ca valid, o criptează, după care şterge fişierul original. Într-o astfel de situaţie, utilizatorul victimă poate încerca să îşi recupereze fişierele cu ajutorul unor programe special dezvoltate pentru recuperarea datelor. Două astfel de instrumente sunt: R-Studio şi Photorec.

3.       Copii Shadow Volumes

În cazul în care aveţi opţiunea de System Restore activată, sistemul de operare Windows va realiza imagini instantanee ale datelor – shadow copy snapshots – care pot fi utile pentru recuperarea datelor din acel moment de timp. În continuare sunt prezentate două metode de recuperare a datelor din Shadow Volume Copies.

3.1. Windows Previous Versions

Pentru recuperarea fişierelor individuale urmaţi paşii de mai jos:

-          Click-dreapta pe fişierul de interes

-          Properties

-          Selectaţi tab-ul Previous Versions

-          Selectaţi versiunea fişierului pe care doriţi să o recuperaţi

-          Selectaţi operaţia Copy pentru recuperarea fişierului ales şi alegeţi directorul destinaţie sau

-          Selectaţi operaţia Restore pentru recuperarea fişierului şi înlocuirea celui curent.

                În cazul recuperării unui director se urmează aceleaşi instrucţiuni.

3.2.Shadow Explorer

-          Descărcaţi şi instalaţi utilitarului Shadow Explorer;

-          Deschideţi Shadow Explorer şi selectaţi din meniul drop-down din partea stângă a ferestrei partiţia disponibilă la un moment de timp specificat pentru a efectua recuperea de fişiere:

 

 

-          Click-dreapta pe oricare fişier sau director criptat şi alegeţi opţiunea Export... pentru a selecta locaţia în care doriţi să se stocheze datele recuperate.

 

4.       Recuperarea fişierelor de pe Dropbox

Dacă contul dumneavoastră de Dropbox este mapat către un driver dedicat de pe sistemul infectat, atunci există posibilitatea criptării datelor de pe acesta. Datele pot fi recuperate din cloud dacă se împiedică sincronizarea cu datele stocate local. 

REFERINŢE

[1]. http://deletemalware.blogspot.ro/2015/01/how-to-remove-ctb-locker-virus-and.html

[2]. https://curah.microsoft.com/293812/decrypt-your-files-damaged-by-ctb-locker-virus

[3]. http://blog.kaspersky.com/new-version-ctb-locker/

[4]. http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-   information#CryptoWall


Vizualizat de 1833 ori