Mi az a “a személyes fájlok titkosított CTB-szekrény által”?

A CTB-kulcsra zárható szekrény ransomware vírus behatolásának rendszereken keresztül a fertőzött e-mailek és hamis letöltések (például gazember videolejátszók vagy hamis Flash frissítés). Után sikeres beszivárgás, ez a rosszindulatú program titkosítja a fájlokat (* *.docx, .doc, *.xls, * .ppt, *.psd, *.pdf, *.eps, * .ai, * .cdr, *.jpg, stb) tárolják a számítógépek és a követelés megfizetése egy 300 $ ransom (a Bitcoins) azok visszafejtéséhez (titkosított dokumentumok kapnak egy .ctbl fájlokat kiterjesztés).

Számítógépes bűnözők felelős kiadó ez a gazember program biztosítja, hogy azt végrehajtja az összes Windows operációs rendszerekhez (Windows XP, Windows Vista, Windows 7 és Windows 8). Critroni ransomware AllFilesAreLocked.bmp DecryptAllFiles.txt és [hét találomra tett betűk] .html fájlok a titkosított fájlokat tartalmazó mappában hoz létre.

Ezek a fájlok tartalmazzák az utasításokat részletezi, hogyan felhasználók visszafejthetik fájljaikat, és a használata a Tor-böngésző (egy névtelen pókháló legel). Számítógépes bűnözők Tor segítségével elrejteni identitásukat. PC-t használók kell vigyázz, hogy bár maga a fertőzés nem bonyolult-hoz eltávolít, fájlok (titkosított titkosítási RSA 2048) által érintett ez a rosszindulatú program lehetetlen anélkül, hogy fizet a váltságdíj. Ugyanakkor a kutatás nem voltak eszközök vagy megoldásokat képes Critroni által titkosított fájlok visszafejtése. Vegye figyelembe, hogy a személyes kulcs szükséges-hoz hírbe hoz a fájlokat tárolja a CTB-kulcsra zárható szekrény-irányító szerverek, számítógépes bűnözők által igazgatott. Ezért a legjobb megoldás, hogy eltávolít ez ransomware vírus, és majd az adatok visszaállításához a biztonsági másolatból.

Ransomware fertőzések, mint például a CTB-kulcsra zárható szekrény (CryptoWall, CryptoDefense, CryptorBit, és Cryptolocker) be egy erős ügyben fenntartani a rendszeres biztonsági mentéseket a tárolt adatok. Vegye figyelembe, hogy fizet a váltságdíj követelésére a ransomware megegyezik a pénzt küldeni cyber-bűnözők – támogatni fogja a saját rosszindulatú üzleti modell, és nincs garancia arra, hogy a fájlok valaha lenni decrypted. A ransomware fertőzések mint ez számítógép-fertőzés elkerülése express óvatosan e-mail üzenetek megnyitásakor, mivel a számítógépes bűnözők használata különböző fülbemászó cím megnyitása a fertőzött e-mail mellékletek (például “UPS kivétellel Notification” vagy “FedEx szállítási hiba bejelentés”) a PC-t használók becsapni. A kutatások azt mutatják, hogy számítógépes bűnözők is használ P2P hálózatok, és hamis letöltések tartalmazó csomagban ransomware fertőzések Critroni elszaporodhatnak. Jelenleg, a “a személyes fájlok titkosítva vannak” ransomware fenyegetés szállított, angol és orosz nyelven, és ezért ezeket a nyelveket beszélő országok felső részén a cyber-bűnözők szaporodó ezt a malware listáját.

Számítógépes bűnözők már kiadott egy frissített változatát a CTB-kulcsra zárható szekrény ransomware célzási USA, Olaszország, Hollandia és Németország-ból. Ez a változat többnyire terjesztett hamis fax értesítő e-mailek segítségével fertőzött mellékletek. Számítógépes bűnözők is kiterjesztették egy időkeretet, amelyben az áldozatok kell fizetni a váltságdíjat, hogy visszanyerje az irányítást a fájlok 96 óra (korábban, 72 óra)

A szerzők a CTB-kulcsra zárható szekrény egy affiliate programot, hogy meghajtó fertőzések használja outsourcing a fertőzés folyamat-hoz egy hálózat, leányvállalatok és partnerek, cserébe egy csökkenteni a nyereség. Az affiliate modellt egy olyan kipróbált, tesztelt és nagyon sikeres stratégia megvalósítása nagy mennyiségű malware fertőzések. Ezt arra használták, hogy ezáltal hatalmas bevételt a Hamisítvány Vírusölő, kattintson a csalási formák, és számos más jellegek-ból malware. Különösen most, hogy hozzászokott kioszt ransomware általában és CTB-kulcsra zárható szekrény.

Az affiliate program CTB-kulcsra zárható szekrény először nyilvánosan hangsúlyozta a kutató Kafeine, középső-2014. A 2015-ös vöröses felad követel-hoz lenni-ból egy tényleges résztvevő a affiliate program, és működésében érdekes betekintést nyújt. A CTB-kulcsra zárható szekrény szerzők használata sok exploit kit szerzők hasonló stratégia azáltal, hogy otthont választási lehetőség, ahol az üzemeltető a havi díjat fizet, és a szerzők otthont a kódot. Ez teszi, hogy egyre affiliate egyszerű és viszonylag kockázatmentes. A Reddit poszter állította, hogy a 15.000 (feltehetően dollár), egy hónap, a költségek mintegy 7000. A szerző azt is megemlíti, hogy ő csak összpontosít áldozatok “tier 1″ országok, mint az USA, UK, Ausztrália és Kanada, ahogy így kevés pénzért teszi a más régiókban, hogy ez nem éri meg az időt.

Egy affiliate modell segítségével a terjesztési azt jelenti, hogy sokféle különböző vektorok CTB-kulcsra zárható szekrény. Láttuk, hogy elosztott átmenő több exploit Kit beleértve a fúrótorony, és nukleáris. Azonban ez a rosszindulatú spam-kampányokat hogy betartották-e a legtöbb fertőzés CTB-kulcsra zárható szekrény.

A löncshús leggyakrabban látott kampányok, amelyek CTB-kulcsra zárható szekrény egy Dalexis vagy Elenoockanéven letöltött-összetevőjét használja. A levélszemét üzenetek magukat kövesse a legkülönbözőbb formátumokat, beleértve a nem fogadott faxüzenetek, a pénzügyi kimutatások, a lejárt számlákról, a fiókok felfüggesztésével és a fogadott mms-üzenet. Íme néhány példa:

CTB example

CTB Locker examples

CTB example2

Egy nagy részét a mai rosszindulatú spam érkezik, mint egy exe reszelő belső rész egy fütyülés vagy rar archív. Egy szokatlan oldala a Dalexis, hogy szinte mindig megérkezik a kevésbé gyakori Archívum, általában egy cab-fájlban. Az Archívum tartalmaz rosszindulatú mintát is, gyakran egy .scr kiterjesztésű és egy további archív, egy csalétek, tartalmazó dokumentum jelenik meg az áldozat meggyőzni, hogy a mellékletet ártalmatlan volt.

CTB sampleDalexis rosszindulatú mintát több technikákat használ kísérlet, hogy elkerüljék Homokszóró láda és automatizált elemző rendszerek, beleértve a alszik egy ideig. Dalexis letölti a CTB-kulcsra zárható szekrény minta http Protokollon keresztüli titkosított formában, dekódolja és végrehajtja.

Végrehajtás

Amikor végrehajtja a CTB-kulcsra zárható szekrény, csepp egy példányt magának, hogy a temp könyvtár, és ahhoz, hogy kitartás újraindít egy ütemezett feladatot hoz létre.

CTB-Locker executesa fájlrendszer majd megismételte keresztül, és minden fájl kiterjesztés CTB-szekrény kiterjesztés lista egyező titkosítva lesz. Az asztal háttérképét módosul és CTB-kulcsra zárható szekrény matricák a váltságdíjat üzenet és a kattintható felület rá a képernyő közepén.

Ellentétben néhány crypto-ransomware CTB-kulcsra zárható szekrény nem igényel aktív internet kapcsolat titkosított fájlok megkezdése előtt.

Titkosítás

CTB-kulcsra zárható szekrény áll a “Görbe-Tor-Bitcoin-Locker.” A “Görbe” része a név használata az elliptikus görbéjű titkosítás (ECC) venni. ECC egyfajta nyilvános kulcsú titkosítás elliptikus görbék véges mezők alapján. Erejét az elliptikus görbe diszkrét logaritmus probléma származik. A legtöbb fájl titkosítása Ransomware, nyilvános kulcsú titkosítást használó ellát-hoz használ RSA, amely elsődleges faktorizációs alapul. Egy előnye, hogy ECC át RSA, hogy egyenértékű biztonsági szintet lehet elérni sokkal kisebb kulcs méretek. Például egy 256-darab ECC kulcs van egyenértékű biztosíték 3072-bites RSA-kulcs.

A kulcs méret előnye, hogy ECC kínál már egy tényező, a szerző a döntéshozatali folyamatban, hogy beágyaz egy nyilvános kulcs a rosszindulatú mintát, és egy kisebb kulcs kevesebb helyet foglal.

CTB-kulcsra zárható szekrény kombinációját használó a szimmetrikus és az aszimmetrikus titkosítás tülekedés fájlokat. Maga a titkosítás segítségével történik, AES, és akkor az azt jelenti, hogy hírbe hoz a fájlokat van encrypted-val az ECC-nyilvános kulcs. Ez biztosítja, hogy csak a CTB-kulcsra zárható szekrény szerzők, akik rendelkeznek a megfelelő személyes kulccsal képes-hoz hírbe hoz a fájlokat. Részletes elemzés a titkosítási rendszer CTB-szekrény által használt további, ez az elemzés a “zairon.”

CTB-kulcsra zárható szekrény akarat beavatkozik-a következő kiterjesztésű fájlokat:

PWM, kwm, txt, cer, crt, der, pem, doc, cpp, c, php, js, cs, pas, bas, pl, py, docx, rtf, docm, xls, xlsx, széf,

csoportok, xlk, xlsb, xlsm, mdb, mdf, dbf, sql, md, dd, dds, jpe, jpg, jpeg, cr2, nyers, rw2 rwl, dwg, dxf, dxg, psd, 3fr, accdb,

AI, arw, bay, keverék, cdr, crw, dcr, dng, eps, EMA, indd, kdc, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c,

PDD, pdf, pef, pfx, ppt, pptm, pptx, pst, ptx, r3d, raf, srf, Horváth, wb2, vsd, wpd, wps, 7z, zip, rar, dbx, gdb, bsdr, bsdu,

bdcr, bdcu, bpdr, bpdu, ims, bds, bdd, bdp, gsf, gsd, iss, arp, rik, gdb, fdb, abu, config, rgx

Ez a lista bővült, mint újabb változata is megjelent.

Titkosított fájlok minden eredetileg egy “.ctbl” kiterjesztés, amely hamarosan megváltozott a véletlenszerű kiterjesztéssel rendelkeznek. Úgy tűnik, hogy a szerzők kölcsön legalább néhány, a titkosítás, kód az OpenSSL, nagy mennyiségű kapcsolódó karakterláncok megtalálható a kicsomagolt kódot.
ctbl extension

Hálózati kommunikáció

CTB-kulcsra zárható szekrény indíthat, anélkül, hogy lépjen kapcsolatba a vezetési és irányítási szerver fájlok titkosítása, hiszen ott nem kell minden hálózati kommunikáció mindaddig, amíg az áldozat kísérlet-hoz hírbe hoz a fájlokat.

Amikor ez megtörténik, minden kommunikáció átvitt Tor (ez az, ahol a “Tor”, a görbe-Tor-Bitcoin-szekrény jön), általában proxy honlapokon, hogy a relék a Tor-rejtett szolgáltatás házigazdák a háttér-infrastruktúra.

Amikor a sértett megfizette a váltságdíjat, CTB-kulcsra zárható szekrény felveszi a kapcsolatot a vezetési és irányítási kiszolgáló, küld egy adatblokk, amely tartalmazza a kulcs, amely dekódolja az áldozat fájlokat szükséges információkat. Ez a blokk, az adatok az főkulcs a kiszolgálón tárolt csak visszafejthető.

Váltságdíj követelés

Titkosított fájlokat az áldozat a váltságdíjat az üzenet az asztalháttér módosítása és egymásra a képernyő közepén a fő váltságdíj követelés és a kattintható felület.

Ezen a képernyőn a tájékoztassa az áldozatot, hogy “a személyes fájlokat is titkosítja CTB-kulcsra zárható szekrény”, mondják, hogy “96 óra, a fizetési”, és ők arra figyelmeztetett, hogy minden olyan kísérletet, hogy távolítsa el a kártevő a fertőzött rendszert fog eredményezni a visszafejtési kulcs pusztulnak-alacsonyabb korábbi verzióiban volt, ezt a határidőt. Az áldozat rákattinthat a “Következő” gomb-hoz elkezd a visszafejtés a titkosított fájlok listájának megtekintéséhez a “Nézet” gombra.

CTB Locker 1CTB-kulcsra zárható szekrény magasan többnyelvű kínált sokféle nyelven elérhető különböző jelző ikonok a képernyő felső részén a váltságdíj. Nyelvek választéka úgy tűnik, hogy legalább részben testreszabható az affiliate, akik már vásároltak ebben a konkrét esetben CTB-szekrény, és a lehetőségek nőttek, idővel. Egy újabb keletű példa volt az alábbi nyelvi beállítások – angol, francia, német, spanyol, lett, holland és olasz.

CTB Locker 2Lett a szokatlan nyelvi lehetőség, Lettország általában nem tekinthető a fő célkitűzés a ransomware és más típusú crimeware. Ez esetleg azt jelenti, a szerzők, akik megpróbálják betörni új piacokra, ahol a tudatosság alacsonyabb, vagy talán az adott leányvállalat helyi ismeretekkel rendelkezik, és jobb képes-hoz dob egy sikeres kampány, ebben az országban.

CTB Locker LAtvianLegújabb változatát CTB-kulcsra zárható szekrény is kínál, így a sértett, hogy ellenőrizze, hogy a fájlokat tud visszafejteni visszafejtése öt véletlenszerűen kiválasztott fájlokat ingyen. Úgy tűnik, ez egy módja annak, hogy az áldozat bizalmát, és növeli annak valószínűségét, hogy a teljes váltságdíj kifizetése vezettek.

Váltságdíj

Ha az áldozat a váltságdíjat felületen keresztül kapnak részletes utasításokat a mennyit kell fizetni, és hogyan kell fizetnie.

Ransom PaymentCTB-kulcsra zárható szekrény van szükség a Bitcoins (BTC) fizetni a váltságdíjat (“Bitcoin” görbe-Tor-Bitcoin-szekrény). A pontos összeget a BTC be van állítva a partner, aki megvásárolta a CTB-tároló, bár a szerzők ad iránymutatást, hogy segítsen a váltságdíjat összegét olyan szinten, hogy valószínűleg a legnagyobb bevételt. 12. ábra fenti példa 3 BTC igényes. Egy hozzávetőleges egyenértékű összeg helyi pénznemben is megjelennek – például 690 dollárt vagy 660 euro.

Egyetlen hátránya, hogy segítségével Tor rejtett szolgáltatások, hogy megbízhatóságát is egy kérdés, ami azt jelenti, hogy a vezetési és irányítási szerver nem elérhető, amikor az áldozat próbál fizetni a váltságdíjat.

CTB Payment, Hogy megpróbálja ellen a CTB-kulcsra zárható szekrény kísérlet-hoz használ több különböző Tor proxykiszolgáló eléréséhez a rejtett szolgáltatás és a szálloda útmutatóját a rosszindulatú mintát el kell távolítani a fertőzött gépen. Ez magában foglalja a látogatás a Tor rejtett szolgáltatás átmenő egy pókháló legel, és ragacsosság-ba egy formája a nyilvános kulcsot, hogy az áldozat.

CTB-Locker Virus Megbízhatóság

Olvassa át a különböző állami támogatási fórum hozzászólásokat arra utal, hogy sok esetben fizet a váltságdíj eredményezi CTB-szekrény az áldozat fájlok visszafejtése. A “Vizsgálati Decryption” szolgáltatás egy jó jelző a visszafejtés lehetőség.

Azonban az áldozat kell mindig bízik a kiberbűnözők hogy jó az ígéretét után a BTC váltságdíjat összeget. Van is a lehetőségét, hogy a kiszolgáló-összetevők, hogy a fogadó a személyes kulcsok, a visszafejtés elvégzéséhez szükséges lesz levették, ideiglenesen vagy véglegesen, amely lehet, hogy a visszafejtés lehetetlen. Ilyen esetben valószínű, hogy a kiberbűnözők továbbra is annak ellenére, hogy váltságdíjat átutalások fogadásához van nincs mód-hoz hírbe hoz fájlokat az áldozat.

Statisztika

CTB-kulcsra zárható szekrény fertőzések többnyire látható, Nyugat-Európa, Észak-Amerikában és Ausztráliában. Ezek általában a tier 1 országok vöröses a poszt fent leírt. Áldozatok ezekben az országokban jelennek meg, a ransomware szerző korábbi tapasztalatok sikeres kifizetések alapján célzott.

CTB Locker by countrySzámú mintán megvizsgálva azt látjuk hogy tényleges CTB-kulcsra zárható szekrény minták száma jóval alacsonyabb, mint a Dalexis mintát, amit van hozzászokott letölt CTB-kulcsra zárható szekrény. Ennek van értelme, mivel a letöltött rendesen ki rendkívül nagy mennyiségben, amely lehetővé teszi a biztonsági termékek felderítése nagyon gyorsan felvenni. Minden egyes minta egyedi egy kis összeg az egyes fájlok módosításával növeli annak valószínűségét, hogy néhány ellenőrzőösszeg-alapú védelmi megoldások akarat megbukik-hoz kinyomoz minden a minták.

CTB Locker vs Delexis Sample Védelem

Másodéves hallgató véd CTB-kulcsra zárható szekrény, a végrehajtás váltságdíjat/HPmal-N és statikusan nyomozás nevek, beleértve egy sor: Troj/váltságdíjat-AKW, Troj/hagyma-D, Troj/Filecode-B Troj/HkMain-CT.

Másodéves hallgató érzékeli a Dalexis/Elenoocka letöltött-val egy sor-ból nyomozás nevek, beleértve: Troj/ügynök-AMTG, Troj/ügynök-AMKP, Troj/Csomortani Hunor-H, Troj/ügynök-AIRO, Troj/ügynök-AMNK, Troj/ügynök-AMNP, Troj/ügynök-AMOA, Mal/Csomortani Hunor-B.

Ezek CSÍPŐK aláírások gyakran nincs szükség akármi korszerűsít mint észlelnek a kicsomagolt memória-kód, függetlenül attól, hogy a lemez, vagy csomagolt, eltorzítva vagy titkosított fájlok.

Birtoklás csípő Másodéves hallgató technológia engedélyezve van erősen ajánlott ransomware proaktívan blokkolja.

Ha arra gyanakszik, hogy Ön már veszélybe került a ransomware, eltávolíthatja a rosszindulatú programok segítségével a Virus Removal Tool . Sajnos nincs túl sok tudod csinál-hoz kap-a fájlokat kivéve vissza kell fizetni a váltságdíjat-a titkosítás túl erős-hoz kiváló.

Amellett, hogy a víruskereső naprakész, segít megelőzni vagy hatástalanítását ransomware fertőzések, hogy a felhasználó kérheti további rendszer-módosítások vannak.

1. készítsen biztonsági másolatot fájljairól.

A legjobb módja annak, hogy nem szakítja meg a fájlokat a ransomware a vissza őket rendszeresen. Tárolja a biztonsági mentés külön-külön is kulcsfontosságú – tárgyalt, néhány ransomware változatok törölje a Windows a fájlok árnyékmásolatait a további taktika, hogy megakadályozza a helyreállítási, így kell tárolni a biztonsági másolat offline.

2. rendszeresen alkalmazza a windows és más szoftverfrissítések.

Naprakészen a rendszer és az alkalmazások. Ez ad ön a legjobb esélye, hogy elkerülje a rendszered kihasznált segítségével hajt-mellett letölt támadások és a szoftver (különösen az Adobe Flash, Microsoft Silverlight, pókháló legel, stb) biztonsági réseket, amelyek telepítése ransomware ismert.

3. ne kattintson nem megbízható e-mail linkek vagy kéretlen e-mail mellékleteket nyissanak.

A legtöbb ransomware érkezik keresztül a spam e-mailt a linkre kattintva, vagy a mellékletek. Birtoklás egy jó e-mail anti-vírus kutató is proaktívan blokkolja feltört vagy rosszindulatú website linkek vagy bináris mellékleteket, hogy vezethet ransomware.

4. tiltsa le az ActiveX tartalmat a Microsoft Office alkalmazásokban, például a Word, Excel, stb

Láttunk sok rosszindulatú dokumentumokat, amelyek tartalmazzák a makrókat, amely további letölthető ransomware csendben a háttérben.

5. telepítsen egy tűzfalat, blokk I2P és a Tor, és korlátozni a meghatározott portokon.

A hívás-kiszolgáló a hálózaton keresztül elérje a malware megakadályozása lehet lefegyverezni egy aktív ransomware változata. Mint ilyen blokkolása a tűzfalon keresztül I2P és a Tor-kiszolgálókkal létesített kapcsolatok is célravezető.

6. távoli asztali kapcsolat letiltása.

Megbénít Távoli Iskolapad kapcsolatok ha nincs rájuk szüksége a környezetben úgy, hogy rosszindulatú szerzők nem férhetnek hozzá a számítógép távolról.

7. blokk futás a % APPDATA % és a % TEMP % utak binárisok.

A ransomware fájlok esett, és végre ezeken a helyeken, így a végrehajtás blokkoló megakadályozná a ransomware futását.

MINDEN VÉLEMÉNY SZÁMÍT!