Опасен криптиращ вирус – CTB Locker Critroni Ransomware

През последните няколко седмици, няколко десетки клиенти на Спийд Компютри потърсиха помощ заради заразени файлове с опасен вирус, известен като CTB Locker или Critroni.

Тъй като проблемите, които създава вируса са изключително сериозни, решихме да напишем тази статия, за да ви помогнем в превантивните действия срещу заразяване.

Основните теми, които ще се опитаме да разясним са:

1. Какво представлява CTB Locker ?

2. Как се разпространява CTB-Locker ?

3. Какво да направим, ако открием, че компютърът ни е заразен от CTB Locker?

4. Какво се случва, ако не платим на CTB-Locker в посочения срок?

5. Възможно ли е да разшифроваме криптираните с CTB Locker файлове?

6. Как да открием файловете, криптирани с CTB Locker ?

7. Как да предпазим компютъра си от зараза с CTB Locker?

8. Няколко принципа, които да спазваме за да се предпазим от вирусите!

Какво представлява CTB Locker?

Вирусът CTB Locker (Curve-Tor-Bitcoin Locker), известен още като Critroni, се появява някъде през средата на Юли 2014 г. и всъщност не е никак нов. Вирусът, най-общо казано, криптира потребителските файлове на заразеният компютър. Разпространява се на всички Windows операционни системи – Windows XP, Windows Vista, Windows 7 и Windows 8/8.1.

Когато компютърът ви се зарази с CTB Locker, вирусът започва да сканира за вашите файлове с данни ( снимки, word, excell, power point, access и др.) и ги криптира, така че да е невъзможно да ги отваряте. На файловете се прибавя произволно разширение от типа .ftelhdd или .ztswgmc (примерно mydocumet.doc.ztswgmc). След това на десктопа Ви се появява съобщение, че вашите файлове с данни са криптирани, заедно с приканящо съобщение да заплатите определена сума в Биткойни (сумата е различна от 0,01 до 8-10 BTC в зависимост от броя на криптираните файлове, а вероятно може да има и други съображения, които не знаем). За да е всичко още по-стряскащо и да ви подтикнат да действате по-бързо, се появява и часовник с обратно броене за 96 часа, през които следва да заплатите исканата сума.

Когато компютърът ви се зарази с CTB Locker, вирусът се записва в %Temp% директорията като изпълним файл (exe) с произволно име. След това създава скрита именована произволно задача в Task Schedule, която стартира изпълнимия malware всеки път , щом стартирате компютъра си.

Обърнете внимание, че когато вирусът сканира компютъра ви за файлове с данни, той сканира абсолютно всички устройства (букви които имате на комютъра като C:\; D;\ X:\; Y:\ и т.н.), включително мапнати (закачени мрежови) устройства, преносими устройства ( флашки, външни твърди дискове), които са закачени на компютъра ви в момента на сканирането. Накратко, всички устройства, които присъстват на компютъра ще бъдат сканирани.

Когато CTB Locker открие поддържани формати файлове, той ги криптира със сложен код, който е уникален за този компютър. След като приключи с търсенето и криптирането на файловете с данни, злонамереният софтуер сменя тапета на десктопа ви с %MyDocuments%\AllFilesAreLocked .bmp файл, който съдържа инструкции, как да платите за да ви се възстанови информацията. Също така създава и файлове %MyDocuments%\DecryptAllFiles <user_id>.txt и %MyDocuments%\.html, които също съдържат информация, как да достъпите malware сайта и да да платите исканият откуп.

Друга необичайна характеристика на заразяването с CTB Locker е, че вирусът комуникира с командният сървър директно чрез TOR, вместо нормално чрез интернет. Това изключително много затруднява проследяването на местоположението на командния сървър.

Не на последно място, при всеки рестарт на вашият компютър, вирусът се копира под различно име в папката %Temp%, а след това създава и нова задача в task schedule за да се изпълни отново при следващото зареждане на операционната система. Така че, не е необичайно да намерите многобройни изпълними файлове под различни имена в %Temp% директорията

Как се разпространява CTB-Locker ?

CTB Locker е малуеър (malware) и както става ясно от името се разпространява чрез email съобщения. В съобщението има прикачен файл, най-често архивиран в zip или cab формат. Темата на съобщението най-често е факс или фактура, но може да бъде и всичко друго. Прикачените архиви съдържат даунлоудър от типа Downloader.Ponik, Downloader.Upatre, W97M.Downloader. Това са преносими изпълними файлове (.EXE, .SCR, .BAT, .PIF, .CMD), които в крайна сметка са отговорни за изтегляне на криптиран файл, който осъществява действителната работа по криптиранто на вашите данни.

Какво да направим, ако открием, че компютърът ни е заразен от CTB Locker?

Ако откриете или подозирате, че вашият компютър е заразен с CTB Locker, незабавно сканирайте компютъра с антивирусен или антималуеър софтуер. Ако не сте сканирали компютъра си скоро, добра идея е да го направите сега. За нещастие, повечето хора разбират че са заразени с CTB Locker едва след като видят съобщението на десктопа си, че файловете им са криптирани. В последния случай сканирането няма да възстанови файловете ви, но поне ще открие и премахне вируса, така че да не се зарежда повече при зареждане на Windows.

Какво се случва ако не платим на CTB-Locker в посочения срок?

Когато се заразите с CTB Locker, вирусът ви информира със съобщение на десктопа, че имате 96 часа да платите откуп или вашите файлове ще бъдат загубени завинаги. Това е просто форма на сплашване, цел да предприемете импулсивно неразумно действие – да платите. След изтичане на срока вие също можете да възстановите файловете си ако платите, но тогава ще трябва да изпълните процедура по инсталация на TOR браузър и да достъпите техния TOR сайт. Когато броячът стигне до 0, ще ви бъде показан екран с инструкция какво да направите , ако искате да си възстановите файловете:

Дали да платите? НЕ, НЕ и НЕ. Да платите на някой, който ви изнудва значи да поощрите действията му и да му дадете ресурс , с който той да стане още по-добър в това, което прави. Но решението разбира се си е ваше.

Възможно ли е да разшифроваме криптираните с CTB Locker файлове?

За най-голямо съжаление, поне към настоящият момент (12.02.2015) все още не е открит начин да се декриптират файловете, без да се плати откупа на CTB сайта. Опитите да се извлече ключ чрез тъй наречения BruteForce не е реалистичен, предвид огромното време, необходимо да се пробие този тип криптозащита. Единственият метод за възстановяване на вашите файлове е от бекъп (ако имате) или инструменти за възстановяване на изтрити файлове от файлова система. Вторият случай е възможен, защото изглежда че за да криптира файловете, CTB Locker първо им създава копия. После криптира копията и чак след това изтрива оригиналите. Така посредством софтуер за възстановяване на изтрити файлове (R-Studio , Photorec, Get Data Back и други) можете да се опитате да възстановите изтритите оригинални файлове. Важно е да знаете, че колкото повече използвате компютъра след заразяването, толкова по-малък става шанса да успеете да възстановите нещо с подобен софтуер.

Как да открием файловете, криптирани с CTB Locker

За да видите списък с файловете, криптирани от малуеъра, може да отворите %MyDocuments%\.html или %C:\Users\All Users\.html файла. Този файл, освен инструкциите за плащане на откупа, съдържа и списък с криптираните файлове.

Как да предпазим компютъра си от зараза с CTB Locker

Пътищата (директориите) които се използват от CTB Locker са:

C:\<random>\<random>.exe
C:\Users\<User>\AppData\Local\<random>.exe (Vista/7/8)
C:\Users\<User>\AppData\Local\<random>.exe (Vista/7/8)
C:\Documents and Settings\<User>\Application Data\<random>.exe (XP)
C:\Documents and Settings\<User>\Local Application Data\<random>.exe (XP)
%Temp%

За да блокирате възможността CTB Locker да стартира изпълнимите си файлове, можете да блокирате тези изпълними файлове посредством тъй наречените Path Rules. Тези Path Rules можете да създадете посредством Software Restriction Policies на windows, или със софтуерни инструменти като CryptoPrevent. Със софтуерен инструмент е много по-лесно, но не го препоръчвам, тъй като самите инструменти също могат да имат не съвсем добронамерени създатели.

Няма 100% гаранция за това, че няма да се заразите, но все пак ето няколко неща, които можете да направите, за да намалите до минимум риска от заразяване. (Настоящата процедура е само за хора със сериозни познания и умения в областта на настройките на операционни системи и не се препоръчва за хора без опит в тази област. )

Можете да използвате Windows Local Policy Editor за да създадете нова рестриктивна политика ( Software Restriction Policies), която да блокира изпълнимите файлове от специфични местоположения (paths). Детайлна спецификация за това, как да достъпите и настроите Software Restriction Policies във Local Policy Editor може да видите на този линк.

Накратко:

В командният ред: All programs/applications/Run напишете secpol.msc и натиснете ОКВ отвореното меню намерете Software Restriction Policies и ако нямате Additional Rules, създайте ново правило от Action менюто като изберете New Software Restriction Policies. После щракнете на появилото се Additional Rules в ляво  и след това щракнете с десен бутон на мишката някъде в десния панел – ще ви се появи контекстно меню откъдето да изберете New Path Rule.

Едно по едно трябва да добавите всички правила за ограничаване, изброени по долу:

Имайте предвид, че тези правила могат да блокират и приложения, които вие ползвате и които изобщо не са вируси. Т.е., тези приложения могат да спрат да функционират или да не функционират нормално.

В този случай за да ги разрешите, отново от Legacy Security Policy панела задайте NewPath Rule, но този път с директива Unrestricted и укажете пътя и конкретното приложение. Примерно : %AppData%\*my_programm.exe , както е на картинката по долу:

Сложничко е и доста тромаво, но за съжаление няма висока сигурност без усилия.

Разбира се тази процедура далеч не е задължителна. Тя по скоро дава още една идея как да защитите вашите данни.

Ако следвате стъпките, описани в следващата глава, шанса да се сдобиете с вирус по пощата е нищожен 🙂

Няколко стъпки, които да спазваме за да се предпазим от вирусите!

• Никога не кликайте върху линковете на email съобщения от непотвърдени изпращачи. По правило не отваряйте прикачени файлове от непознати податели – особено архивни или изпълними ( rar, zip, cab, exe).
• Никога не отговаряйте на email съобщения, които под някакъв предлог изискват от вас да върнете съобщение с ваши лични данни ( примерно спечелили сте от лотария в която никога не сте участвали, имате пратка, която никога не сте поръчвали и така нататък) . Трийте тези съобщения без да се замисляте.
• Винаги подхождайте внимателно, когато отваряте прикачени файлове от вашата поща. Дори да познавате изпращача, няма никаква гаранция, че неговият компютър не е заразен. Изпращача може дори да не знае, че ви е изпратил email.
• Винаги поддържайте антивирусната си програма обновена.
• Правете регулярни архиви на вашите данни и на операционната си система. Правилото е: колкото по-често, толкова по добре!
• Ако имате дори и най-малките съмнения относно някой email, просто го изтрийте без да го отваряте. В 99% от случаите ще сте постъпили правилно. А за останалия 1% – ако някой е искал да ви прати някаква важна информация по електронната поща, ще намери начин да ви я изпрати отново.

В статията са използвани материали от bleepingcomputer.com

Спийд Компютри не носи отговорност, ако в резултат на информацията в статията изгубите информация или възникнат проблеми с нормалната работоспособност на вашият компютър.

Използвайте информацията от тази статия изцяло на ваш риск и отговорност!