CTB-Locker – malware de tip ransomware

0

Ransomware este un software malițios ce împiedică accesul la fișiere, sau chiar la întregul sistem infectat, până la plata unei „recompense”.

Acest tip de malware nu reprezintă o noutate, însă pentru a îngreuna procesul de recuperare a fișierelor, ransomware-urile actuale blochează accesul la documente (documente, fotografii, muzică, filme etc.) prin criptarea asimetrică a acestora.

CTB Locker (Curve-Tor-Bitcoin Locker), cunoscut şi sub numele de Critroni, reprezintă un software maliţios de tipul ransomware al cărui scop este de a cripta fişierele stocate pe sistemul afectat. Acesta a fost lansat la mijlocul lunii iulie a anului 2014 şi vizează toate versiunile de Windows, inclusiv Windows XP, Windows Vista, Windows 7 şi Windows 8.

Odată infectat cu acest malware, sistemul afectat va fi scanat, iar fişierele regăsite pe acesta vor fi criptate. Este important de ştiut că dacă în trecut fişierele criptate îşi schimbau extensia în CTB sau CTB2, ultimele versiuni de CTB Locker identificate adaugă fişierelor criptate o extensie aleatoare (spre exemplu .ftelhdd, .ztswgmc, etc.). După criptarea fişierelor, este deschisă o fereastră de răscumpărarea datelor precum cea prezentată mai jos:

CTB-Locker

În momentul în care un sistem este infectat cu CTB Locker, malware-ul se va stoca în directorul %Temp% sub forma unui executabil cu un nume aleator. Acesta va crea apoi un proces cu nume aleator în Task Schedule care lansează executabilul maliţios de fiecare dată când utilizatorul victimă se autentifică pe sistemul infectat. Iniţial, programul maliţios realizează o scanare prin care urmăreşte identificarea fişierelor de date de pe toate partiţiile, inclusiv dispozitive de stocare externe şi spaţii de stocarea datelor partajate în reţea.

Când CTB Locker identifică un fişier de date valid, acesta îl criptează utilizând algoritmi de criptare cu curbe eliptice. După criptarea tuturor fişierelor de date, malware-ul va deschide fereastra de răscumpărare, va schimba fundalul cu fişierul %MyDocuments%AllFilesAreLocked.bmp şi va crea fişierele %MyDocuments%DecryptAllFiles.txt şi %MyDocuments%.html.

Toate modificările aduse de către malware în pasul anterior conţin detalii privind instrucţiunile de urmat pentru plata răscumpărării.

O altă caracteristică a acestui malware este că acesta comunică cu serverele de comandă şi control via TOR, o reţea de tunele virtuale utilizată pentru obţinerea anonimatului, identificarea atacatorilor devenind mult mai dificilă. În plus, de fiecare dată când sistemul infectat este repornit, CTB Locker se va copia sub o altă denumire în %Temp% şi va iniţializa alt proces în Task Scheduler. Aşadar, şansele sunt ridicate ca pe sistemul infectat să existe mai multe copii ale software-ului maliţios.

Varianta nouă de Critroni, și anume CTB Locker, oferă, mai nou, posibilitatea de decriptare a 5 fișiere. În fereastra pricipală ce apare în momentul infecției, prin apăsarea pe Next și apoi pe butonul Search se vor alege în mod aleatoriu 5 fișiere care vor fi decriptate pentru a dovedi victimelor că fișierele pot fi recuperate.

CTB-Locker-2

IMPACT

Troianul CTB Locker are un impact major deoarece poate duce la pierderea definitivă a datelor stocate pe sistemele infectate.

CTB-Locker va cripta toate fişierele stocate pe driver-ele sistemului dumneavoastră, cele stocate pe dispozitive mobile, inclusiv fișierele aflate pe medii de stocare partajate (numai dacă acestea sunt mapate ca driver pe sistemul infectat).

MĂSURI DE SOLUŢIONARE

Recomandarea CERT-RO este să nu încercați să plătiți recompensa solicitată de atacatori, existând riscul să nu re-dobândiți accesul la fișierele criptate nici după efectuarea plății. De asemenea, plătind recompensa solicitată, contribuiți în mod direct la încurajarea acestui tip de activități frauduloase.

Prevenirea infectării cu malware-ul CTB Locker

Se poate utiliza Windows Group sau Local Policy Editor pentru a se crea politici de restricționare ce blochează rularea fișierelor .exe când se află în anumite locații. Pentru mai multe informați privint configurarea restricțiilor (Software Restriction Policies), puteți consulta articolele de la Microsoft :

  • http://support.microsoft.com/kb/310791
  • http://technet.microsoft.com/en-us/library/cc786941(v=ws.10).aspx

Locațiile folosite de acest tip de infecții sunt :

  • C:.exe
  • C:UsersAppDataLocal.exe (Vista/7/8)
  • C:UsersAppDataLocal.exe (Vista/7/8)
  • C:Documents and SettingsApplication Data.exe (XP)
  • C:Documents and SettingsLocal Application Data.exe (XP)
  • %Temp%
Sursa foto: www.cert-ro.eu
Sursa articolului: www.cert-ro.eu

Postează un comentariu

*
Site găzduit de RedHost.ro