CTB Locker virus támad és zsarol!

Veszélyes CTB Locker vírus ami zsarol és váltság díjat követel

Előszó

Egyre többen hívnak emiatt a fertőzés miatt, hogy tudok -e segíteni. Sajnos nem szolgálhatok jó hírekkel. A titkosított fájlokat visszafejteni csak a titkos kulccsal lehet, amit csak akkor kapunk meg ha minél előbb megfizetjük a váltságdíjat. Arra hogy a kulcs megérkezik-e nincs garancia. A vírus eltávolításához javasolt teljes formázás, majd újra kell telepíteni a rendszert.

Leírás

Hivatalos nevén Win32/Filecoder.DA.Gen, közismertebb néven CTB Locker ami egy ransomware vírus, amely a Crypto Ransomware családjába tartozik. Lényegében képes titkosítással elérhetetlenné tenni dokumentumainkat, fotóinkat, videóinkat és az adatbázisokat! A tapasztalatok alapján minden Windows rendszeren terjed, de legkönnyebben Windows XP -t támadja meg. A vírus akár egy email vagy rossz indulatú internetes oldal megnyitásával terjedhet és ezt követően váratlanul aktivizálódik. A  vírus biztonsági réseket kihasználva töltődik le és épül be a rendszerbe.
A CTB Locker vírus lényege azon kívül hogy a fájljainkat titkosítja, hogy váltság díjat kér a titkosítás feloldására és a fájlok helyre állítására.A váltság díj általában 500$ -tól kezdődik, amiért cserébe ígérnek egy kulcsot amivel fel tudjuk oldani a titkosítást. A interneten terjedő tapasztalok alapján van aki megkapja a fizetést követően a dekódoláshoz szükséges titkos kulcsot de van ahol ellenkezőleg, csak a pénzt húzzák be és nincs ellenszolgáltatás cserébe. Ezért mindenki csak saját felelősségére fizesse ki a követelt váltságdíjat!

A CTB Locker vírus terjedése első sorban emailben zajlik. A leendő áldozat kap egy alcázott fertőzött dokumentumot emailben. Ami általában egy csomag nyomkövetését, nem fizetett adó vagy számla, illetve gyorshajtási büntetésnek lehet álcázva. Persze ez mindössze megtévesztés mivel a melléklet vírust tartalmaz. Minden esetben a csatolmányok megnyitása előtt érdemes tájékozódni annak megbízhatóságáról a feladónál.

ctb locker virus

A képen található szöveg angolul

„Your personal files are encrypted by CTB-Locker.
Your documents, photos, databeses and other important files have benn encrypted with strongest encryption and unique key, generated for this computer.
Private descryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key.
You only have 96 hours to submit the payment. If you do not sen money within provided time, all your files will be permamently crypted and no one will be able to recover them.
Press ‘View’ to view the listo f files that have benn encrypted.
Press ‘Next’ for the next page.
Warning! Do not tre to get rid ofthe program yoursel. Any action take will result in decryption key being destroyed. You Will lose your files forever. Only way to kepp your files is to follow the instruction.”

Magyar fordítás

„A személyes fájlok titkosítva lettek a CTB-Locker által.
A dokumentumok, fotók, adatbázisok és más fontos fájlok a legerősebb titkosítással kódolva és egyedi kulcs létrehozva a számítógéphez.
A személyes visszafejtő kulcs egy távoli internetes szerveren van tárolva, amihez senki nem fér hozzá és a kódolást senki nem tudja visszafejteni amíg a váltságdíjat ki nem fizetik.
Már csak 96 óra maradt, hogy befizetése beérkezzen. Ha ezt nem teszi meg a megadott időn belül az összes fájl véglegesen titkosítva marad és senki nem lesz képes helyreállítani őket.
Nyomja meg a „Nézet” gombot hogy megtekintse a titkosított fájlok listáját.
Nyomja meg a ‘Next’ a következő oldalhoz.
Figyelem! Ne próbáljon megszabadulni a programtól önállóan. Minden fajta kísérlet és próbálkozás a dekódoló kulcs megsemmisítésével jár. El fogja veszíteni a fájlokat örökre. Egyetlen módja, hogy a fájlokat helyre állítsa hogy követi az utasításokat.”

Pár kép a jelenségről és a kódolt fájlokról

Az alábbi képen Látható hogy a vírus a a .DOC és .JPG fájlok kiterjesztéseit megváltoztatta. Ezeket javítva sem olvashatóak a fájlok mivel kódolva (encrypt) vannak.ctb locker vibcdhc fajlok

Normál indításkor betölt a Windows, de csökkentett módban kék halál fogad.

ctb locker kekhalalA registry egy részét is olvashatatlanná teszi. A kódolt könyvtárakba belépni nem lehet.

ctb registryRendszerkonfigurációs segédprogram (msconfig) -ba is beépül.

msconfigAz ütemezett feladatoknál is be van állítva hogy rendszerindításkor fusson.

utemezett feladatok

Lehetséges megoldások

  1. Fizetés: Sajnos jelenleg a kódolt fájlok dekódolására az egyetlen mód ha megfizetjük a váltságdíjat és ezt követően megkapjuk a titkos kulcsot. Amennyiben e mellett döntünk úgy minél hamarabb fizetni kell, és követni a dekódoláshoz szükséges lépéseket.A fizetés virtuális pénzzel történik, más néven bitcoinnal. 1 bitcoin ára 220$ ami kb 60ezer Ft.
  2. Visszaállítás backupból: A kódolt fájlokat korábbi mentésből lehet vissza állítani, feltéve ha volt ilyen. A vírus eltávolítása teljes mértékben a merevlemez formázásával és a rendszer újratelepítésével lehetséges.

Megelőzés

  • Vírus védelem: Ha védekezni szeretnénk a vírus ellen a jövőben javasolt valamely fizetős vírusírtó használata javasolt. Kaspersky vagy ESET képes felismerni és megakadályozni a fertőzést.
  • Windows update: Windows operációs rendszerhez érkező frissitéseket rendszeresen telepítsük
  • Window XP: mivel ez a rendszer 2014. ápprilisában lejárt így NE használjuk, telepítsünk ujabb rendszert vagy akár linuxot ahol nem támad a CTB Locker!
  • Ne nyisson meg ismeretlentől származó emaileket és annak mellékleteit!
  • Lehetőleg kerüljük a warez és pornográf jellegű oldalakt!
  • A pendriveokkal szemben is legyünk bizalmatlanok!
  • Frissítsük rendszeresen egyéb szoftvereinket. (Chrome, Firefox, Internet Explorer, Java stb)

Hasznos linkek
CTB Locker további tapasztalatok – http://hup.hu/node/138183
Bitcoin (BTC) aktuális árfolyama – https://btc-e.com/

Amennyiben valaki úgy dönt hogy megfizeti a váltságdíjat és segítség kell szóljon és segítek végig vinni a dekódoláshoz szükséges folyamatot.

Varga Tamás – Rendszergazda
(0630/-828-2689)

32 thoughts on “CTB Locker virus támad és zsarol!

    1. Tamás

      Szia Zsolt!

      ESET NOD32 vírusirtót használunk, de benyeltün!
      Szerinted mikorra várható az ESET dekódolója!?

      Szia ,Tamás

      Válasz
      1. Tamás Szerző

        Kedves Zsolt,
        Nem hiszem hogy a közel jövőben várható lenne dekódoló szoftver ami emberi időn belül képes visszafejteni a titkosítást.
        Sajnos az egyetlen esély a dekódolásra jelenleg a visszafejtéshez szükséges titkos kulcs megszerzése, amit akkor kapunk csak meg ha kifizetjük a „váltságdíjat”.

        Válasz
      2. Henrico

        Tamás!

        Mindenképpen azt javaslom, ha várni akarsz a csodára (persze hiába), hogy előbb vegyél egy új HDD-t vagy SSD-t és üzemeltesd be pl. Tamással az új rendszert, ezt a HDD-t meg tedd egy fém dobozba és ásd el a telek végén. Unokáid díjazni fogják a visszafejtett dokumentumaid!!!! :oDDDD

        Bocsánat.

        Válasz
  1. Gébor

    Helló mindenkinek én is kaptam egy CTB Locker vírust kb 10 perc és ki irtottam a férgesét de tipp AGV kell használni

    Válasz
    1. Tamás Szerző

      Kedves Ági!
      Melyik virusírtó rakta karanténba? Sikerült felismerni honnan jutott be a vírus a gépre?

      Válasz
    2. Henrico

      Kedves Ági!

      Nem nyelted be… ez nem az.
      Nem úgy hívják, csak, hogy megkaptad a vírust e-mail-on és a vírus írtó karanténba vágta. Ergo dolgozott rendesen, Te pedig okosan nem piszkáltál ellene.

      ENNYI LENNE EGY JÓ FELHASZNÁLÓ DOLGA!!!! :o)

      Válasz
  2. Donka Péter

    A legújabb business nod32 frissített adatbázissal is beengedte egy naív kolléganő gépére.
    Nálam az ingyenes 360 internet security azonnal visított, hogy vírus és pontosan fel is ismerte amikor meg akartam nyitni a teszt virtuális gépen. Úgyhogy csak óvatosan bízzatok a nodban!

    Válasz
    1. Tamás Szerző

      Igen sajnos mi is egyre több helyről halljuk hogy a Nod32 be engedte a vírust. Tessék Kaspersky vagy AVG vírusírtót használni a tapasztalatok alapján azzal megelőzhetjük a bajt! Lehetőleg fizetős verziót használjuk.

      Válasz
    2. Henrico

      Péter!

      „naív kolléganő'”
      Talán pont itt volt a probléma, igaz? Nem a nod32-vel.. :(„naív kolléganő'”

      Ne haragudj, csak bosszant, hogy mindenki szidja az ESET-et, de a saját hibáját nem veszi észre..
      Alapból nem kattingatok ismeretlen feladó mellékleteire.. Ehhez kellene a picike intelligencia, vagy csak nevezzük simán józan paraszti észnek?? ;o)

      Válasz
  3. Szabo Krisztina

    A gépemet megfertőzte egy CTB locker vírus. A fertőzést követően megkaptam a szokásos üzenetet, hogy a titkos kód kifizetését, hogyan lehet elkezdeni. A lap tetején lévő üzenet hasonló, de az én esetemben nem tartalmaz befizetési határidőt, a megadott oldal csak Tor Browserrel nyitható meg, továbbá leküldött egy hosszú kódot, ami az un publikus kulcs, amit a behívható oldalra kell beírni.

    A Tor Browserbe beírtam a : http://w7yue5dc5amppggs.onion/, ahogy az meg volt adva. Fel is jött egy oldal, amelyik az üzenetben küldött publikus kulcsot kérte, ami így néz ki:

    „VK63L42-NQIQ2FM-JDQPC7H-ZEAHXTQ-MOK5I5N-KSKREWE-V3S4GK6-X7OTNLH
    QQJKGX4-4JOEGIT-6KFGGPG-MQPH2UU-KRFSTRW-Q4VRW2X-QPZUBZI-PVSISJV
    G7EWFDR-7UDRACZ-YEK7TJN-62AENP2-LNNLLIX-VW4QMW4-UY5T6M4-XVRGIUG”

    Ezt beírtam, majd feljött egy oldal, ahol le van írva, hogy a dekodolásért 2.5 Bitcoint kérnek és ezt hogyan lehet beszerezni, illetve hova kell eljuttatni.
    Ennek az oldalnak az alján, gondolom a hitelesség kedvéért, van egy lehetőség, miszerint ha feltöltök egy kódolt fájlt, azt dekódolják nekem, mintegy bebizonyítva azt, hogy rendelkeznek a titkos kulccsal.

    Nos, innentől már nem működött a dolog. Feltöltöttem a gépem által hibásnak megítélt egyik fájlt, de a dekódolás helyett, azt az üzenetet kaptam, hogy a fájl vagy más gépen lett kódolva vagy nincs egyáltalán kódolva, mert nem tartalmazza az általuk elküldött publikus kulcsot.

    Kérem, akinek hasonló tapasztalat volt vagy tud valami előrelépésről ebben az ügyben, írja meg.

    Nagyon fontosak számomra a kódolt fájlok és most nem értem, hogy a leírt vírusírtó módszer, ami a fájlokat ugyan nem állította vissza, de lehet, hogy a publikus kulcsot eltávolította és most ha fizetnék a titkos kulcsért, akkor sem lehet már visszaállítani a fájlokat?

    Mivel ez nem az én gépem, hanem céges gép, nyílván egyből jelentettem a dolgot az IT-nek, akik ezt követően virusirtást hajtottak végre (Malwarebyt-Anti-Malware programmal) és az IT-s megállapította ezt követően, hogy a gép vírusmentes. A lekodolt filokat persze nem tudták helyreállítani és azok továbbra is használhatatlanok. Sajnos, mivel épp a HDD-ről is dolgoztam, így a saját külső tárolóm adatait is érintette. Minden doc, pdf, jpg és excell file a „ingoauj” extensiont tartalmazza és nem nyitható meg.

    A zsarolók által küldött üzenet szerint a Tor Browseren keresztül felkerestem a megadott oldalt, ahol mintegy 2,5 Bitcount kérnek a titkos kulcsért és, hogy hitelt adjanak a követelésüknek 1 db fájlt fel lehet tölteni, amit dekódolnak. Ezt az utat is kipróbáltam, viszont az általuk lekódolt, „ingoauj” extensiont tartalmazó fájlt hiába töltöttem fel a http://w7yue5dc5amppggs.onion/ serverre, mert azt írta ki a rendszerük, hogy ez a fájl nincs lekódolva és nem tarzalmazza a megadott public kulcsot.

    Nem tudom, hogy ilyen problémákkal kapcsolatosan tud-e Őn segíteni, vagy át tud-e irányítani valakihez, aki ezt kezelni tudja.

    Válasz
    1. Tamás Szerző

      Kedved Krisztina,
      Ha fontosak az adatok és képes fizetni akkor a lehető legrosszabb ötlet volt véleményem szerint virusirtást végezni a fertözött gépen. Ugyanis a CTB Locker képernyő tájékoztatója szerint ha bármi nemü, probálkozás vagy kisérlet történik a fertőzés eltávolítására akkor az az adatok végleges elvesztéséhez vezethet a titkos kulcsot nem fogja megkapni. Javaslom probálják meg az eredeti állapotot visszaállítani. Ha kisérletezni szeretnénk akkor klónozzuk le előtte a diszket és a másolt példányon kisérletezzünk.

      Válasz
  4. Andrea

    Sziasztok sajnos en is benyeltem tegnap ezt a virust…kedves Agi te hogy tetted karantenba ezt …segetsegedet kernem ebbe …nekem az emailen keresztul kuldtek a levelet valami szamla volt …
    Kirstie Dino 4 pages from +07587 845062,,es ez az email cime: platitude@ex-sol.com ….erre nagyon vigyazzatok…

    Válasz
  5. Krisztián

    Nekem is megjelent a gépemen ez, és semmit nem nyit meg a gépen.

    Kedves Ági, vagy bármelyikőtök, melyik vírusirtó tudja véglegesen törölni ezt, hogy újra hozzáférhessek a fájlokhoz?

    Köszönöm.

    Válasz
  6. Henrico

    Az eset smart security megfogja a fertőzést nem nem kell félni. Az a lényeg hogy jól legyen beállítva.
    Olyan szépen elkezdte dobálni a kukába a levelet minden gépen, hogy öröm volt nézni.

    Válasz
  7. Henrico

    Sajnos a hiba ott van, hogy nincs letiltva a felhasználó a vírusíróról, és Ő bizony felül bírálja az eset ablakát. Nem csak kattingatni kellene, hanem olvasni, gondolkodni. 🙁
    Sokszor látom az, Hogy önnek vírusa van. Már kattint is ész nélkül rá. 🙁

    Válasz
  8. Henrico

    Kedves Krisztián!

    Engedd el a fájlokat… :o(
    Búcsúzz el, és kérj meg egy szakembert, hogy telepítsen egy új rendszert a gépedre. Pl. A szerző, Tamás.
    Esetleg mutassa meg azt is, hogy hogyan kell a számítógépet használni. Részvétem.
    A gyenge láncszem MINDIG a felhasználó.. nem a vírus írtó. Hanem amikor valaki okosabb akar lenni. Ott kezdődik a baj.. :o(

    Válasz
  9. Henrico

    Tulajdonképpen inkább azon kellene aggódnotok, Kedves Felhasználók, hogy most lehet, hogy a Ti e-mail-os címetek fogják ugyanezt a vírust megkapni.. Hálájuk sokáig fog Titeket kísérni…
    Ugyanis amint elindul a szemét, leszedi a címlistát.. meg mellette még 26 helyre bejelentkezik az interneten. :o(

    Válasz
  10. Henrico

    Én azt javaslom, ne akarjon fizetni senki.. inkább vegyen egy új SSD-t a gépébe töredék összegért, a HDD-t pedig ássa el mélyre, ki tudja, hátha lesz még a jövőben ennek megoldása.

    Lesz egy klassz gyors gépe.. és kérjen segítséget valakitől egy BIZTONSÁGOS rendszer telepítéséhez.. ennyi.

    Válasz
  11. Kurucz Attila

    3 napja bekaptam én is, sokat utána olvastam, magyar szervízeket is hívtam, 3 btc-t követelnek ami rengeteg pénz, hiába 15 év emléke nem fogok fizetni, úgy tűnik a lelki feldolgozás és format c: segít. Mert ha lejár a 96óra akkor annyi.

    Válasz
    1. Henrico

      Szia Attila!

      Azért az nem kevés idő. Ki tudja, hátha segíthet a kivárás. Lehet, hogy később lesz még ennek megoldása. Aki megengedheti, esetleg tegye el a sérült hdd-t egy időre. Nem nagy költség már egy másik. Az adat az érték.

      Én is vesztettem már pótolhatatlan anyagot. Tudom mennyire rossz érzés.

      Tényleg sajnálom azokat akik ilyen áron tanulják meg ezt a leckét. 🙁

      Válasz
  12. Krisztián

    Kedves Henrico!

    Először is, köszönöm a hozzászólást, és a tanácsot.

    Bár nem vagyok nagy guru, de azt nem kell megmutatni, hogy egy számítógépet hogy kell használni, nem vagyok teljesen laikus. Volt már arra példa, hogy volt egy olyan DVD lemezem tele fényképekkel, amit a gép nem bírt olvasni, és egy szervizben nem jöttek rá a hibára. Utánaolvasás után megtaláltam a megoldást: IsoBuster nevű programmal kell a lemezt olvasni, és arról átmásolni a gépre a képeket. Tehát ha valakinek ilyen jellegű problémája van, tegye ezt, csak segítség! 🙂

    De visszatérve a vírusra: 2 szervizben voltam eddig, az elsőben azt mondták, miután rákérdeztem a merevlemez klónozásra, hogy az működik, csak ők nem vállalják. Tehát a fájlok visszanyerhetők azzal a módszerrel, szerintük. Második helyen pedig azt mondták, hogy amíg nincs kulcs, addig képek sincsenek. Kíváncsian várom a fejleményeket és az ötleteket!

    Válasz
  13. Zsolti

    Sziasztok!
    Sajna én is áldozatul estem a CTB Lockernek. Több mint 2GB-nyi fotómnak lőttek, higigtc kiterjesztést kaptak, pedig másik partíción vannak. Fizetni eszembe se jutott. Acronissal azóta visszatöltöttem egy rendszer mentést, így a rendszerem már tiszta, de érdekelne, hogy a rendszerpartíción kívül másik partíción is jelen lehet-e még a vírus és itt arra gondolok, amelyiken a képeket tárolom. Esetleg ezt a partíciót is formázzam ,minden mindegy alapon?

    Várom válaszotokat. Üdv: Zsolti

    Válasz
    1. Tamás Szerző

      Szia, a CTB locker vírus eltávolítására mindenképpen teljes formázást javaslok. Első sorban a rendszer particióját formázd, ha biztos akarsz lenni akkor a többi meghajtót is, de elegendő lehet egy AVG vagy Kaspersky futtatása is a nem rendszer meghajtón lévő fájlok tisztitására.

      Válasz
  14. Alibaba

    Hello!
    En meg nem fertozodtem es azon vagyok hogy ezt elkeruljem.
    Egy tehnikai kerdesem lenne:
    Ha minden kulso hardot rakotok egy pc-re amit semmi masra nem hasznalok, csak adatkozpontkent, ugyanakkor megosztom a hardokon levo adatokat a helyi rendszerben, de NEM ADOK JOGOT MASRA CSAK OLVASASRA, vagyis megtiltok mindennemu kulso felhasznaloi valtoztatast, torlest, akkor ezeket a hardokat megis megtamadhatka a Ctb Locker, egy olyan fertozott geprol (pl laptop) amely ra van csatlakozva a helyi halozatra, latja, olvashatja a megosztott hardok adatait, de elvileg nincs semmilyen engedelye azok megvaltoztatasara?
    Erre a kerdesre keresem a pontos valaszt de eddig sehol sem talaltam ra …
    Koszonom a segitseget !

    Válasz
    1. Tamás Szerző

      Szia, elméletileg nem tud így meg fertőzödni, de jobb félni mint megijedni! De amikor másolsz rá és írási jogot adsz akkor bekövetkezhet a baj. Javasolnám inkább valamilyen felhő alapú szolgáltatás igénybe vételét, olyat ahol van backup, így még ha a tárhelyen lévő fájlokat meg is fertőzi egy vírus akkor is vissza tudod állítani a fájlok egy korábbi állapotra.

      Válasz
    1. Tamás Szerző

      Kedves Gábor!

      Több fajta locker vírus létezik. Megnéztem én is a videót, nem rossz. De csak abban az esetben képes helyre állítani a titkosított fájlokat, ha már a vírus támadás előtt is aktív volt a Webroot endpoint protection. Nem hiszem hogy visszafejtené a lekódolt fájlokat, hanem inkább valamilyen mentésből vagy snapshotból állíthatja vissza a fájlokat.

      Válasz
  15. CTB-Locker az Bug

    Szervusz!

    Pehhemre bejött… 🙂 3 perc = 2 Terra. Oprendszer Gyalu. Rendszer újrarak. Fájlrendezés …hkftjhlkpk… ?? :O Mi a f@.. ?! 🙂 Háttérkép üdvözöl: Szerencsés CTB-Locker Meghívó az BTC világába… Do. 🙂 Váltságdíj 2,5 BTC. Király… és azt ültetik vagy rajzolják a kisgyerekek? 🙂
    Mindez Január közepén… Míg mindenhol azt írták, hogy 5 Fájlt vissza lehet vele hozatni, addig nálam, csak 1-et engedett… aztán közölte oly kedvesen, hogy: „MOSTMÁR FIZESS!” Gaz! Mi az, hogy ingyért akarod saját fájljaidat?! 🙂
    Eltelt 6 hó, 2 Rendszer-újrapakolás… Gondoltam megnézem mi a helyzet… TOR letölt, elindít. Oldal felkeresése. Jelenleg is 2,5 BTC-t követel. Valamint felajánlotta, hogy ellenőrizhetem, hogy vissza tudja kódolni… Ingyen 2 fájl… persze, megint csak 1 fájlt engedett…

    Kérdés… Eddig, mindig megkérdezte, hogy hova mentse a visszahozott állományt… ha fizet az ember, helyben kódolja vissza, akár a virusa, mikor lekódolt, vagy akkor is Mentési helyet kell neki biztosítani?
    A választ előre is köszönöm!

    Válasz

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük

Ez az oldal az Akismet szolgáltatást használja a spam csökkentésére. Ismerje meg a hozzászólás adatainak feldolgozását .