Veszélyes CTB Locker vírus ami zsarol és váltság díjat követel

Előszó

Egyre többen hívnak emiatt a fertőzés miatt, hogy tudok -e segíteni. Sajnos nem szolgálhatok jó hírekkel. A titkosított fájlokat visszafejteni csak a titkos kulccsal lehet, amit csak akkor kapunk meg ha minél előbb megfizetjük a váltságdíjat. Arra hogy a kulcs megérkezik-e nincs garancia. A vírus eltávolításához javasolt teljes formázás, majd újra kell telepíteni a rendszert.

Leírás

Hivatalos nevén Win32/Filecoder.DA.Gen, közismertebb néven CTB Locker ami egy ransomware vírus, amely a Crypto Ransomware családjába tartozik. Lényegében képes titkosítással elérhetetlenné tenni dokumentumainkat, fotóinkat, videóinkat és az adatbázisokat! A tapasztalatok alapján minden Windows rendszeren terjed, de legkönnyebben Windows XP -t támadja meg. A vírus akár egy email vagy rossz indulatú internetes oldal megnyitásával terjedhet és ezt követően váratlanul aktivizálódik. A  vírus biztonsági réseket kihasználva töltődik le és épül be a rendszerbe.
A CTB Locker vírus lényege azon kívül hogy a fájljainkat titkosítja, hogy váltság díjat kér a titkosítás feloldására és a fájlok helyre állítására.A váltság díj általában 500$ -tól kezdődik, amiért cserébe ígérnek egy kulcsot amivel fel tudjuk oldani a titkosítást. A interneten terjedő tapasztalok alapján van aki megkapja a fizetést követően a dekódoláshoz szükséges titkos kulcsot de van ahol ellenkezőleg, csak a pénzt húzzák be és nincs ellenszolgáltatás cserébe. Ezért mindenki csak saját felelősségére fizesse ki a követelt váltságdíjat!

A CTB Locker vírus terjedése első sorban emailben zajlik. A leendő áldozat kap egy alcázott fertőzött dokumentumot emailben. Ami általában egy csomag nyomkövetését, nem fizetett adó vagy számla, illetve gyorshajtási büntetésnek lehet álcázva. Persze ez mindössze megtévesztés mivel a melléklet vírust tartalmaz. Minden esetben a csatolmányok megnyitása előtt érdemes tájékozódni annak megbízhatóságáról a feladónál.

A képen található szöveg angolul

„Your personal files are encrypted by CTB-Locker.
Your documents, photos, databeses and other important files have benn encrypted with strongest encryption and unique key, generated for this computer.
Private descryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key.
You only have 96 hours to submit the payment. If you do not sen money within provided time, all your files will be permamently crypted and no one will be able to recover them.
Press ‘View’ to view the listo f files that have benn encrypted.
Press ‘Next’ for the next page.
Warning! Do not tre to get rid ofthe program yoursel. Any action take will result in decryption key being destroyed. You Will lose your files forever. Only way to kepp your files is to follow the instruction.”

Magyar fordítás

„A személyes fájlok titkosítva lettek a CTB-Locker által.
A dokumentumok, fotók, adatbázisok és más fontos fájlok a legerősebb titkosítással kódolva és egyedi kulcs létrehozva a számítógéphez.
A személyes visszafejtő kulcs egy távoli internetes szerveren van tárolva, amihez senki nem fér hozzá és a kódolást senki nem tudja visszafejteni amíg a váltságdíjat ki nem fizetik.
Már csak 96 óra maradt, hogy befizetése beérkezzen. Ha ezt nem teszi meg a megadott időn belül az összes fájl véglegesen titkosítva marad és senki nem lesz képes helyreállítani őket.
Nyomja meg a „Nézet” gombot hogy megtekintse a titkosított fájlok listáját.
Nyomja meg a ‘Next’ a következő oldalhoz.
Figyelem! Ne próbáljon megszabadulni a programtól önállóan. Minden fajta kísérlet és próbálkozás a dekódoló kulcs megsemmisítésével jár. El fogja veszíteni a fájlokat örökre. Egyetlen módja, hogy a fájlokat helyre állítsa hogy követi az utasításokat.”

Pár kép a jelenségről és a kódolt fájlokról

Az alábbi képen Látható hogy a vírus a a .DOC és .JPG fájlok kiterjesztéseit megváltoztatta. Ezeket javítva sem olvashatóak a fájlok mivel kódolva (encrypt) vannak.

Normál indításkor betölt a Windows, de csökkentett módban kék halál fogad.

A registry egy részét is olvashatatlanná teszi. A kódolt könyvtárakba belépni nem lehet.

Rendszerkonfigurációs segédprogram (msconfig) -ba is beépül.

Az ütemezett feladatoknál is be van állítva hogy rendszerindításkor fusson.

Lehetséges megoldások

1. Fizetés: Sajnos jelenleg a kódolt fájlok dekódolására az egyetlen mód ha megfizetjük a váltságdíjat és ezt követően megkapjuk a titkos kulcsot. Amennyiben e mellett döntünk úgy minél hamarabb fizetni kell, és követni a dekódoláshoz szükséges lépéseket.A fizetés virtuális pénzzel történik, más néven bitcoinnal. 1 bitcoin ára 220$ ami kb 60ezer Ft.
2. Visszaállítás backupból: A kódolt fájlokat korábbi mentésből lehet vissza állítani, feltéve ha volt ilyen. A vírus eltávolítása teljes mértékben a merevlemez formázásával és a rendszer újratelepítésével lehetséges.

Megelőzés

• Vírus védelem: Ha védekezni szeretnénk a vírus ellen a jövőben javasolt valamely fizetős vírusírtó használata javasolt. Kaspersky vagy ESET képes felismerni és megakadályozni a fertőzést.
• Windows update: Windows operációs rendszerhez érkező frissitéseket rendszeresen telepítsük
• Window XP: mivel ez a rendszer 2014. ápprilisában lejárt így NE használjuk, telepítsünk ujabb rendszert vagy akár linuxot ahol nem támad a CTB Locker!
• Ne nyisson meg ismeretlentől származó emaileket és annak mellékleteit!
• Lehetőleg kerüljük a warez és pornográf jellegű oldalakt!
• A pendriveokkal szemben is legyünk bizalmatlanok!
• Frissítsük rendszeresen egyéb szoftvereinket. (Chrome, Firefox, Internet Explorer, Java stb)

Hasznos linkek
CTB Locker további tapasztalatok – http://hup.hu/node/138183
Bitcoin (BTC) aktuális árfolyama – https://btc-e.com/

Amennyiben valaki úgy dönt hogy megfizeti a váltságdíjat és segítség kell szóljon és segítek végig vinni a dekódoláshoz szükséges folyamatot.

Varga Tamás – Rendszergazda
(0630/-828-2689)