¿Qué es ‘sus archivos personales se cifran por CTB-Locker’?

El CTB-Locker ransomware virus se infiltra en sistemas operativos a través de mensajes de correo electrónico infectados y descargas falso (por ejemplo, los reproductores de vídeo pícaro o falsas actualizaciones de Flash). Después de la infiltración exitosa, este programa malicioso cifra los archivos (* *.doc, *.docx, *.xls, * .ppt, *.psd, *.pdf, *.eps, *. AI, * .cdr, *.jpg, etc) almacenados en Computadoras y demandas el pago de un rescate de $300 (en Bitcoins) para descifrarlos (documentos encriptados recibirán una extensión de archivos de .ctbl).

Los delincuentes cibernéticos responsables de liberar este programa rogue aseguran de que ejecuta en todas las ventanas de versiones del sistema operativo (Windows XP, Windows Vista, Windows 7 y Windows 8). Critroni ransomware crea AllFilesAreLocked.bmp DecryptAllFiles.txt y [siete letras al azar] archivos .html dentro de cada carpeta que contiene los archivos cifrados.

Estos archivos contienen instrucciones que detallan cómo los usuarios pueden desencriptar sus archivos y por el uso del navegador Tor (un navegador anónimo). Los delincuentes cibernéticos usan Tor para ocultar sus identidades. Los usuarios de PC deben tener cuidado que mientras que la infección sí mismo no es complicada de quitar, descifrado de archivos (cifrada con cifrado RSA 2048) afectados por este programa malicioso es imposible sin pagar el rescate. Al tiempo de la investigación, no había herramientas o soluciones capaces de descifrar archivos cifrados por Critroni. Tenga en cuenta que se almacena la clave privada necesaria para descifrar los archivos de los servidores de comando y control de CTB-Locker, que son gestionados por los delincuentes cibernéticos. Por lo tanto, la mejor solución es eliminar este virus ransomware y luego restaurar los datos desde una copia de seguridad.

Infecciones de ransomware como CTB-Locker (incluyendo CryptoWall, CryptoDefense, CryptorBit y Cryptolocker) presentan un caso fuerte para mantener copias de seguridad de datos almacenados. Cuenta que pagar el rescate exigido por este ransomware es equivalente a enviar su dinero a los delincuentes cibernéticos – usted apoyará su modelo de negocio que no garantiza que los archivos nunca serán descifrados. Para evitar la infección de ordenadores con infecciones de ransomware como esta, expresan precaución al abrir mensajes de correo electrónico, ya que los delincuentes cibernéticos utilizan diversos títulos pegadizos para engañar a los usuarios de PC a abrir archivos adjuntos de correo electrónico infectados (por ejemplo, “UPS notificación de excepción” o “Notificación de falta de entrega de FedEx”). Investigaciones muestran que los delincuentes cibernéticos también utilizan las redes P2P y falso descargas que contengan ransomware incluido infecciones proliferan Critroni. Actualmente, el ransomware ‘sus archivos personales se cifrarán’ amenaza es entregada en los idiomas inglés y rusos, y por lo tanto, países que hablan estos idiomas están en la parte superior de la lista de destino de los delincuentes cibernéticos proliferando este malware.

Los delincuentes cibernéticos han lanzado una versión actualizada de CTB-Locker ransomware dirigida a Estados Unidos, Italia, Países Bajos y Alemania. Esta variante se distribuye principalmente mediante correos electrónicos de notificación de fax falsos con archivos adjuntos infectados. Los delincuentes cibernéticos han extendido también un marco de tiempo en el que las víctimas deben pagar el rescate para recuperar el control de sus archivos a 96 horas (antes de 72 horas)

Los autores del CTB-Locker están utilizando un programa de afiliados a las infecciones de transmisión externalizando el proceso de la infección a una red de afiliados o socios a cambio de un recorte de los beneficios. El modelo de afiliados es una estrategia probada, probada y exitosa en el logro de grandes volúmenes de infecciones de malware. Se ha utilizado para generar enormes ingresos de falsos antivirus, haga clic en esquemas de fraude y una gran variedad de otros tipos de malware. Está ahora siendo utilizado para distribuir en general ransomware y CTB-Locker en particular.

El esquema de afiliados para CTB-armario primero se destacó públicamente por el investigador Kafeine, en mediados de 2014. Un Reddit 2015 post dice ser de un participante real del programa de afiliados y ofrece una visión interesante en su funcionamiento. Los autores de CTB-armario utilizan una estrategia similar a muchos exploit kit autores ofreciendo una opción alojada donde el operador paga una cuota mensual y los autores albergar todo el código. Esto lo hace convertirse en un afiliado simple y relativamente libre de riesgos. El cartel de Reddit pretendía hacer 15.000 (presumiblemente dólares) al mes, con costos de alrededor de 7.000. El autor también menciona que él sólo se centra en las víctimas de la “grada 1” países como EEUU, UK, Australia y Canadá, como él hace tan poco dinero de otras regiones que no merece la pena el tiempo.

Usando un modelo de la filial de distribución significa que hay una gran variedad de vectores de infección diferentes de CTB-Locker. Hemos visto se distribuirán a través de varios kits de explotación incluyendo plataforma y Nuclear. Sin embargo, es a través de campañas de spam malicioso que han observado la mayoría de las infecciones casillero CTB.

Las campañas de spam más comunes que distribuyen CTB-armario utilizan un componente de downloader conocido como Dalexis o Elenoocka. Los mensajes de spam siguen una amplia variedad de formatos, incluyendo mensajes de fax perdidas, Estados financieros, facturas vencidas, suspensiones de cuenta y mensajes mms perdidas. Aquí están varios ejemplos:

CTB example

CTB Locker examples

CTB example2

Una gran proporción de spam malicioso de hoy en día llega como un archivo exe en un archivo zip o rar. Un aspecto inusual de Dalexis es que casi siempre llega en un archivo menos comunes, por lo general un archivo cab. El archivo contiene la muestra que, a menudo con una extensión .scr y un archivo adicional que contiene un documento de señuelo que se mostrará para convencer a la víctima que el apego era inofensivo.

CTB sampleLa muestra de Dalexis maliciosa utiliza varias técnicas en un intento para evitar entornos limitados y automatizado sistemas de análisis, incluyendo el dormir por un período de tiempo. Dalexis luego descargas la muestra CTB-armario sobre HTTP en un formato cifrado, decodifica y se ejecuta.

Ejecución

Cuando se ejecuta la CTB-Locker, suelta una copia de sí mismo en el directorio temporal y crea una tarea programada para habilitar la persistencia de reinicio.

CTB-Locker executesEl sistema de archivos luego se itera a través de y todos los archivos con las extensiones que coinciden con lista de extensiones del CTB-armario se cifrará. Se cambia la imagen de fondo de escritorio y CTB-Locker el mensaje de rescate y una interfaz de hacer clic en el centro de la pantalla.

A diferencia de algunas variantes de crypto-ransomware, CTB-Locker no requiere una conexión activa a internet antes de que comience el cifrado de archivos.

Cifrado de

CTB-Locker está parado para la “Curva de Tor-Bitcoin-local.” La parte de la “Curva” del nombre se toma de su uso de criptografía de curva elíptica (ECC). ECC es una forma de criptografía de clave pública basada en curvas elípticas sobre campos finitos. Su fuerza se deriva el problema del logaritmo discreto elíptico de la curva. La mayoría Ransomware archivo cifrado que utiliza criptografía de clave pública tiende a utilizar RSA, que se basa en factores primos. Un beneficio que ECC tiene sobre RSA es que se consigue con mucho menor tamaño de clave de seguridad equivalente. Por ejemplo, una clave de 256 bits ECC tiene una seguridad equivalente a una clave RSA de 3072 bits.

Las ventajas del tamaño de la clave que ECC ofrece puede haber sido un factor que contribuye en el proceso de decisión del autor, como que incorporar una clave pública en la muestra de malware y una llave más pequeña ocupa menos espacio.

CTB-Locker utiliza una combinación de cifrado simétrico y asimétrico a archivos de scramble. El cifrado en sí mismo se lleva a cabo utilizando AES y luego los medios para descodificar los archivos se encriptan con la clave pública ECC. Esto garantiza que sólo los autores de CTB-casillero con la correspondiente clave privada son capaces de descifrar los archivos. Para un análisis detallado de la encriptación ver esquema utilizado por CTB-Locker, este análisis de “zairon.”

CTB-Locker cifra archivos con las extensiones siguientes:

PWM, kwm, txt, cer, crt, der, pem, doc, cpp, c, php, js, cs, pas, bas, pl, py, docx, rtf, docm, xls, xlsx, caja de seguridad,

grupos, xlk, xlsb, xlsm, mdb, mdf, dbf, sql, md, dd, dds, jpe, jpg, jpeg, cr2, raw, rw2, rwl, dwg, dxf, dxg, psd, 3fr, accdb,

AI, arw, Bahía, mezcla, cdr, crw, dcr, dng, eps, erf, indd, kdc, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c,

PDD, pdf, pef, pfx, ppt, pptm, pptx, pst, ptx, r3d, raf, srf, srw, wb2, vsd, wpd, wps, 7z, zip, rar, dbx, gdb, bsdr, bsdu,

bdcr, bdcu, bpdr, bpdu, ims, bds, bdd, bdp, gsf, gsd, iss, arp, rik, gdb, fdb, abu, config, rgx

Esta lista se ha ampliado como variantes más recientes han sido liberadas.

Originalmente, todos los archivos cifrados tenían una extensión de “.ctbl”, sin embargo, que pronto fue cambiado para tener una extensión al azar. Parece que los autores han prestado por lo menos algunos de su cifrado código de OpenSSL, grandes cantidades de cadenas relacionadas se pueden encontrar en el código desempacado.
ctbl extension

Comunicación de la red

Desde CTB-armario podrá cifrar archivos sin necesidad de entrar en contacto con un servidor de comando y control, no hay que ser cualquier comunicación de la red hasta que la víctima intenta descifrar sus archivos.

Cuando esto sucede, todas las comunicaciones se llevan a cabo sobre Tor (esto es donde el “Tor” de curva-Tor-Bitcoin-Locker), generalmente a través de proxy web que actúan como relés al servicio de ocultos de Tor que la infraestructura servidores back-end.

Cuando una víctima pagó el rescate, CTB-Locker se comunicará con el servidor de mando y control, envío de un bloque de datos que contiene la información necesaria para obtener la clave que descifrará los archivos de la víctima. Este bloque de datos sólo puede descifrarse con la clave maestra almacenada en el servidor.

Petición de rescate

Cuando han sido cifrados los archivos de la víctima, se muestra el mensaje de rescate cambiando el fondo de escritorio y superponiendo el centro de la pantalla con la interfaz clickable y petición de rescate principal.

Esta pantalla informa a la víctima que “sus archivos personales se cifran por CTB-Locker”, se les dice que tienen “96 horas hacer un pago”, y advirtieron que cualquier intento de eliminar el malware del sistema infectado resultará en la clave de descifrado es destruida, este plazo fue menor en las versiones anteriores. La víctima puede hacer clic en el botón “Siguiente” para iniciar el proceso de descifrado o el botón “Ver” para ver la lista de archivos cifrados.

CTB Locker 1CTB-Locker es muy multi-lingüe con la nota de rescate ofrecida en una variedad de idiomas, accesibles a través de los diferentes iconos en la parte superior de la pantalla. La elección de idiomas parece ser al menos parcialmente personalizables por parte del afiliado que ha adquirido este caso CTB-Locker, y las opciones disponibles han crecido con el tiempo. Una muestra reciente tenía las siguientes opciones de idioma: Inglés, Francés, alemán, español, letón, holandés e italiano.

CTB Locker 2Letón es una opción inusual lenguaje, Letonia no se considera generalmente como un importante objetivo de ransomware y otros tipos de crimeware. Esto representa, posiblemente, los autores buscan para entrar en nuevos mercados donde el conocimiento es menor, o quizás el afiliado particular tiene conocimiento local y es mejor capaz de lanzar una campaña exitosa en ese país.

CTB Locker LAtvianLas últimas variantes del CTB-Locker también ofrecen una manera para que la víctima verificar que sus archivos pueden descifrarse por desenredar cinco al azar seleccionado archivos gratis. Esto aparece haber sido introducido como una manera de ganarse la confianza de la víctima y aumentar la probabilidad de que se pagarán el rescate completo.

Pago de rescate

Cuando la víctima hace clic a través de la interfaz de rescate se les dan instrucciones detalladas sobre cuánto pagar y cómo pagar.

Ransom PaymentCTB-armario requiere Bitcoin (BTC) para pagar el rescate (“Bitcoin” en curva-Tor-Bitcoin-Locker). La cantidad exacta de ATC se establece por parte del afiliado que ha comprado el armario de la CTB, aunque los autores dan orientaciones para ayudar a establecer el monto de rescate a un nivel que es probable que generen ingresos máximo. 12 de la figura anterior muestra un ejemplo exigiendo BTC 3. También se muestra un equivalente aproximado en moneda local – por ejemplo, 690 dólares o 660 Euros.

Una desventaja a usar servicios ocultado de Tor es que fiabilidad puede ser un problema, lo que significa que el servidor de mando y control no se puede llegar cuando la víctima intenta pagar el rescate.

CTB PaymentEn un intento de luchar contra esto, CTB-Locker intenta utilizar múltiples diferentes servidores proxy de Tor para llegar al servicio oculto y también ofrece el manual de instrucciones debe eliminarse la muestra de malware de la máquina infectada. Estos implican visitando el servicio Tor ocultado a través de un navegador y pegar en un formulario de la clave pública que se da a la víctima.

CTB-Locker Virus Confiabilidad

Lectura a través de varios foros de apoyo público sugiere que en muchos casos pagar el rescate no resultará en CTB-armario de desencriptar los archivos de la víctima. La característica de “Descifrado de prueba” es un buen indicador que descifrado es posible.

Sin embargo, la víctima todavía debe confiar en que los ciberdelincuentes hará buena su promesa después de entregar el importe del rescate en BTC. También hay la posibilidad de que los componentes de servidor que albergan las claves privadas necesitadas para realizar el descifrado se tomará abajo, temporalmente o permanentemente, que puede hacer imposible descifrado. En esa circunstancia es probable que los ciberdelincuentes seguirán aceptando pagos de rescate a pesar de saber hay no hay manera de descifrar los archivos de la víctima.

Estadísticas

Infecciones casillero CTB se ven sobre todo en Europa occidental, Norteamérica y Australia. En general son los países de nivel 1 descritos en el post de Reddit mencionado anteriormente. Las víctimas en estos países aparecen a basado en la experiencia previa del autor de ransomware de pagos exitosos.

CTB Locker by countryCuando se mira en los números de las muestras podemos ver que el número de muestras reales de CTB-Locker es mucho menor que el número de muestras de Dalexis que se utilizan para descargar CTB-Locker. Esto tiene sentido desde el downloader es spam hacia fuera en volúmenes extremadamente grandes, lo que permite añadir detección muy rápidamente los productos de seguridad. Que cada muestra única por cambiar una pequeña cantidad en cada archivo aumenta la probabilidad de que algunas soluciones de protección basada en la suma de comprobación no podrá detectar todas las muestras.

CTB Locker vs Delexis Sample Protección

Sophos protege contra CTB-armario ejecución con rescate/HPmal-N y estáticamente con una matriz de nombres de detección incluyendo: Troj/rescate-AKW, Troj/cebolla-D, Troj/Filecode-B, Troj/HkMain-CT.

Sophos detecta el downloader de Dalexis/Elenoocka con una matriz de nombres de detección incluyendo: Troj/Agent-AMTG Troj/Agent-AMKP, Troj/taxista-H, Troj/Agent-AIRO, Troj/Agent-AMNK, Troj/Agent-AMNP, Troj/Agent-AMOA, Cabby/Mal-B.

Estas firmas las caderas a menudo no requieren las actualizaciones que detectan en el código de memoria descomprimido independientemente de archivos en el disco lleno, ofuscado o cifrados.

Tener Sophos HIPS tecnología recomienda bloquear proactivamente ransomware.

Si usted sospecha que ha sido comprometida por ransomware, puede quitar el malware usando nuestro Virus Removal Tool . Lamentablemente, no hay mucho que puedes hacer para obtener sus archivos de regreso excepto al pagar el rescate, es demasiado fuerte para el cifrado.

Aparte de tener tu antivirus actualizado, hay cambios de sistema adicionales para ayudar a prevenir o desarmar las infecciones ransomware que un usuario puede aplicar.

1. respaldo de los archivos.

La mejor manera de asegurarse de que no perder sus archivos de ransomware es copia de seguridad regularmente. Almacenar la copia de seguridad por separado también es clave – como comentamos, algunas variantes de ransomware eliminar copias sombra de Windows de archivos como una táctica más para evitar su recuperación, por lo que necesita almacenar la copia de seguridad sin conexión.

2. ventanas y otras actualizaciones de software se aplican regularmente.

Mantener actualizado su sistema y aplicaciones. Esto le da la mejor oportunidad de evitar el sistema explota mediante drive descargar ataques y vulnerabilidades de software (particularmente Adobe Flash, Microsoft Silverlight, navegador Web, etc.) que son conocidas para la instalación de ransomware.

3. evitar hacer clic en enlaces de correo electrónico que no se confía o abrir datos adjuntos de correo electrónico no solicitado.

Ransomware mayoría llega por correo electrónico de spam haciendo clic en los enlaces o como archivos adjuntos. Tener un escáner de antivirus de correo electrónico buena también proactivamente bloquea sitio web comprometido o maliciosos enlaces o binario los archivos adjuntos que ransomware.

4. deshabilitar ActiveX contenido en aplicaciones de Microsoft Office como Word, Excel, etc.

Hemos visto muchos documentos maliciosos que contienen macros que más pueden descargar ransomware silenciosamente en segundo plano.

5. instalar un firewall, bloquea Tor y I2P y restringir a determinados puertos.

El malware impidiendo su servidor de llamada a casa a través de la red puede desarmar una variante activa ransomware. Como tal, bloquea las conexiones a servidores I2P o Tor a través de un firewall es una medida eficaz.

6. deshabilitar conexiones remotas de escritorio.

Deshabilitar conexiones remotas de escritorio si no tienen en su entorno, para que autores que no pueden acceder a su equipo remotamente.

7. bloque de binarios de % APPDATA % y % TEMP % caminos.

La mayoría de los archivos de ransomware se cayó y ejecutada desde estas ubicaciones, para bloquear ejecución impediría el ransomware funcionamiento.

Deja un comentario