何が ‘あなたの個人的なファイルは CTB ロッカーによって暗号化された’ ですか?

CTB ロッカー ランサムウェア ウイルスは、感染した電子メール メッセージや偽ダウンロード (たとえば、不正なビデオ プレーヤーまたは偽のフラッシュ更新) を介してオペレーティング システムを浸透します。成功した浸潤後この悪意のプログラムは、ファイルを暗号化 (* .doc、*.docx、*.xls、* *.eps、*.pdf、*.psd .ppt * .ai、* .cdr、*.jpg、等) それらを復号化する (Bitcoins) で 300 ドルの身代金の支払いをコンピューターと要求に格納されている (暗号化されたドキュメントを受け取る .ctbl ファイル拡張子)。

この偽のプログラムを解放するサイバー犯罪者は、それはのすべての Windows オペレーティング システムのバージョン (Windows XP、Windows Vista、Windows 7 と Windows 8) 実行されることを確認します。Critroni ランサムウェアは、AllFilesAreLocked.bmp DecryptAllFiles.txt と [7 つのランダムな文字] 暗号化されたファイルを格納するフォルダーごとに .html ファイルを作成します。

これらのファイルには、ユーザーがそのファイルを復号化し、Tor のブラウザ (匿名の web ブラウザー) の使用方法を詳述した指示が含まれています。サイバー犯罪者は、彼らのアイデンティティを隠すための Tor を使用します。PC ユーザーは、感染自体は削除する複雑な (RSA 2048 暗号化を使用して暗号化される) ファイルの復号化によって影響を注意する必要がこの悪意のあるプログラムは、身代金を支払うことは不可能です。研究の時点で、なかったツールやソリューションの Critroni によって暗号化されたファイルを復号化することができます。ファイルの暗号化解除に必要な秘密キーはサイバー犯罪者によって管理される CTB ロッカーのコマンドとコントロール サーバーで格納されていることに注意してください。したがって、最善の解決策は、このランサムウェア ウイルスを削除し、バックアップからデータを復元することです。

ランサムウェア CTB ロッカー (などの CryptoWall、CryptoDefense、CryptorBit、および Cryptolocker) などの感染症は、あなたの蓄えられたデータの定期的なバックアップを維持するために強力なケースを提示.なおこのランサムウェアの要求に従い、身代金を払って、サイバー犯罪者にあなたのお金を送信に相当 – 彼らの悪意のあるビジネス モデルをサポートする、あなたのファイルを暗号化解除までが、保証はありません。このランサムウェアの感染症と感染を避けるためには、サイバー犯罪者は、感染した電子メールの添付ファイル (たとえば、「UPS 例外通知」または「フェデックス配信失敗通知」) 開くに PC ユーザーを騙そうとして様々 キャッチーなタイトルを使用するため、電子メール メッセージを開くとき注意を表現します。研究は、サイバー犯罪者は、P2P ネットワークを使用しても偽ダウンロード Critroni を増殖する含まれているバンドル ランサムウェア感染症であることを示しています。現在、’あなたの個人的なファイルは、暗号化された’ ランサムウェア脅威は英語とロシア語の言語で配信され、したがって、これらの言語を話す国はこのマルウェアを増殖サイバー犯罪者のターゲット リストの上部に。

サイバー犯罪者は、CTB ロッカー ランサムウェア ターゲット アメリカ、イタリア、オランダ、ドイツの更新されたバージョンをリリースしています。このバリアントはほとんど偽 fax 通知メールを用いた感染した添付ファイルを配布されています。サイバー犯罪者は、彼らの犠牲者が 96 時間 (以前は、72 時間) にファイルの制御を取り戻すために身代金を支払う必要があります時間枠を拡張しているも

CTB ロッカーの作者は、関連会社、または利益のカットと引き換えにパートナーのネットワークに感染プロセスをアウトソーシングすることによりドライブ感染アフィリ エイト プログラムを使用しています。アフィリ エイトのモデルは、マルウェアの感染の大きなボリュームを達成するために実証済み、テストされ、非常に成功した戦略です。それは、偽のウイルス対策のための巨大な収入を生成する、クリックして詐欺の手口として、さまざまなマルウェアの他のタイプに使用されています。それは特にランサムウェアを一般に配布するために使用されて、CTB ロッカーです。

CTB ロッカー用アフィリ エイトのスキームを公開 2014 年半ばに Kafeine、研究者によって強調された最初。2015 Reddit は、アフィリ エイト プログラムの実際の参加者からクレームを投稿し、その働きに興味深い洞察を提供しています。CTB ロッカー著者はどこ演算子は、月額料金を支払うし、著者は、すべてのコードをホスト ホスティング オプションを提供することによって多く悪用キット作者に似たような戦略を使用します。これはシンプルで比較的リスクのないアフィリ エイトになりつつなります。Reddit ポスターは、月に約 7,000 の費用 15,000 (おそらくドル) を作ると主張しました。著者は、彼は唯一米国、英国、オーストラリア、カナダなどの国の”tier 1″からの犠牲者に焦点を当て、時間価値がない他の地域からそう少しお金は、彼を言及しています。

アフィリ エイト モデルを使用した配布 CTB ロッカー用の別の感染経路の広い範囲があることを意味します。それはリグと原子を含むいくつかの悪用キット経由で配布してきました。しかし、それは悪意のあるスパム キャンペーンを通じて CTB ロッカー感染症の大部分が観察されています。

CTB ロッカーを配布する最も一般的に見られるスパム キャンペーンは、 DalexisまたはElenoockaとして知られているダウンローダー コンポーネントを使用します。スパム メッセージ自体は、さまざまな形式、逃された fax メッセージ、財務諸表、延滞請求書、アカウントの停止および逃された mms メッセージを含むを従ってください。いくつかの例は次のとおりです。

CTB exampleCTB Locker examplesCTB example2

現代日悪意のあるスパムの大部分は、zip または rar アーカイブ内の exe ファイルとして到着します。Dalexis の異常な側面がより少なく共通のアーカイブ、cab ファイルでは通常ほとんど常に着くことです。アーカイブには、悪意のあるサンプル自体、しばしば.scr拡張子と添付ファイルは無害であること犠牲者を説得するが表示されますおとりドキュメントを含むさらにアーカイブが含まれています。

CTB sample悪意のある Dalexis サンプル試みにいくつかのテクニックを使用して、サンド ボックスを回避して自動解析システム、睡眠時間の期間を含みます。Dalexis は、暗号化された形式で HTTP 経由 CTB ロッカー サンプルをダウンロード、デコードし、それを実行します。

実行

CTB ロッカーが実行すると、temp ディレクトリに自身のコピーをドロップし、再起動の永続化を有効にするスケジュールされたタスクを作成します。

CTB-Locker executesファイル ・ システムは、繰り返され、CTB ロッカーの拡張機能の一覧と一致する拡張子を持つファイルはすべて暗号化されます。デスクトップの背景画像の変更と CTB ロッカー オーバーレイ身代金メッセージと画面の中央にクリック可能なインターフェイス。

いくつかの暗号ランサムウェアの亜種とは異なりは、それはファイルの暗号化を開始する前に、CTB ロッカーはアクティブなインターネット接続を不要です。

暗号化

CTB ロッカーの略「曲線-岩山-Bitcoin-ロッカー」名前の「曲線」部分は、楕円曲線暗号 (ECC) 使用から取得されます。ECC は、有限体上の楕円曲線に基づく公開鍵暗号方式の形式です。その強さは、楕円曲線離散対数問題から派生されます。公開キー暗号化を使用するほとんどのファイル暗号化ランサムウェアは、主な因数分解に基づいている RSA を使用する傾向があります。ECC は、RSA の利点はその同等のセキュリティ レベルを多くの小さいキーのサイズで実現できます。たとえば、256 ビット ECC キーは 3072 ビットの RSA キーを同等のセキュリティです。

ECC は、公開キーを埋め込むマルウェアのサンプルと小さいキーはより少ないスペースを取る著者の意思決定プロセスに関与する要因をされている可能性があります提供していますキー サイズの利点。

CTB ロッカーでは、対称暗号化と非対称暗号化の組み合わせを使用して、スクランブル ファイルします。暗号化自体が AES を使用して行われ、ファイルを復号化するための手段が ECC の公開キーで暗号化されます。これにより、対応する秘密キーを持っている CTB ロッカー作成者のみがファイルを復号化することができます。暗号化の詳細な分析 CTB ロッカーによって使用されるスキーム分析参照してください、この”zairon“から

CTB ロッカー次の拡張子を持つファイルが暗号化されます。

pwm、kwm、txt、cer、crt、デア、pem、doc、cpp、c、php、js、cs、pas、bas、pl、py、docx、rtf、docm、xls、xlsx、金庫、

グループ xlk xlsb、xlsm mdb mdf dbf sql md、dd dds、jpe jpg jpeg、cr2、raw、rw2 rwl、dwg、dxf、dxg、psd、3fr、accdb、

ai、arw、湾、ブレンド、cdr、crw、dcr、dng、eps、erf、indd、kdc、mef、mrw、nef、nrw、odb、odm、odp、ods、odt、orf、p12、p7b、p7c、

pdd、pdf、pef、pfx、ppt、pptm、pptx、pst、ptx、r3d、raf、srf、srw、wb2、vsd、wpd、wps、7 z、zip、rar、dbx、gdb、bsdr、bsdu、

bdcr、bdcu、bpdr、bpdu、ims、bds、bdd、bdp、gsf、gsd、iss、arp、リック、gdb、fdb、アブ、構成、rgx

新しい亜種がリリースされていると、このリストが拡張されています

もともと、暗号化されたファイルすべてが”.ctbl”拡張子を持っていたしかし、すぐにランダムな拡張子に変更されたこと。それは著者が少なくとも借りている表示されます関連文字列の大量展開したコードで見つけることができます、OpenSSL からのコードは暗号化のいくつか。
ctbl extension

ネットワーク通信

CTB ロッカーは、コマンドおよび制御サーバーに連絡することがなくファイルの暗号化を開始できます、のである必要はありませんになるすべてのネットワーク通信は、被害者がそのファイルを復号化ましょう。

この場合、すべての通信 Tor (曲線 Tor Bitcoin ロッカーから「Tor」の出番となります) で行われている、通常としてプロキシのウェブサイトを通じてリレー Tor 隠されたサービスにホスト、バックエンド インフラストラクチャ。

被害者は、身代金を支払ったがとき、CTB ロッカーは犠牲者のファイルを復号化キーを派生させるために必要な情報が含まれているデータのブロックを送信するコマンドおよび制御サーバーをご連絡いたします。このデータのブロックは、サーバーに格納されているマスター キーでのみ解読できます。

身代金要求

被害者のすべてのファイルが暗号化されているときは、デスクトップの背景を変更することによって、メインの身代金要求とクリック可能なインターフェイスを画面の中心部を重ねることによって身代金メッセージが表示されます。

この画面は、「あなた個人ファイルが暗号化される CTB ロッカーで「被害者通知彼らに言った、”支払いを提出する 96 時間”があると感染したシステムからマルウェアを削除しようが破棄される復号化キーになります-以前のバージョンでこの時間制限が低かった彼ら警告が表示されます。被害者は、復号化プロセスを開始する”Next”ボタンまたは暗号化されたファイルの一覧を表示する「表示」ボタンをクリックできます。

CTB Locker 1CTB ロッカーは、さまざまな言語では、画面の上部に様々 な旗のアイコンを介してアクセス可能で提供される身代金注記非常多言語。少なくとも部分的にこの特定の CTB ロッカー インスタンスを購入したアフィリ エイトによってカスタマイズ可能な言語の選択が表示され、使用可能なオプションは、時間をかけて成長しています。最近のサンプルは、次の言語のオプション-英語、フランス語、ドイツ語、スペイン語、ラトビア語、オランダ語、イタリア語を持っていた。

CTB Locker 2-ラトビア語は、ラトビアはランサムウェアとクライムウェアの他のタイプの主要なターゲットとして一般に見られない異常な言語オプション。これはおそらくその国のキャンペーンの成功を起動することができる意識が低い、またはおそらく特定のアフィリ エイトはローカル知識があり優れている新しい市場に参入を目指す著者を表します。

CTB Locker LAtvianCTB ロッカーの最近のバリエーションも選択したファイルを無料でランダムに 5 つを解読してそのファイルを解読できることを確認する犠牲者のための方法を提供します。これは犠牲者の信頼を得るため、完全の身代金が支払われる可能性を高める方法として導入されているようです。

身代金の支払

身代金インターフェイスを介して被害者をクリックするといくら支払うとそれを支払う方法の詳細な手順が付与されます。

Ransom PaymentCTB ロッカー Bitcoins (BTC) (「ビットコイン」曲線 Tor Bitcoin ロッカー) 身代金を支払うこと必要です。BTC の正確な量は、著者が最大の収益を生成する可能性のあるレベルで身代金の額を設定するためのガイダンスを与えるのに、CTB ロッカーを購入した人アフィリ エイトによって設定されます。図 12 上記例 3 BTC を要求です。現地通貨でのおおよそ相当額も表示されます-例えば、690 ドルまたは 660 ユーロ。

Tor 隠されたサービスを使用する 1 つの欠点は、信頼性が問題、被害者が身代金を支払うとすると、コマンドとコントロール サーバーに到達できないことを意味をすることができます。

CTB Paymentでこれに対抗しようとしました、CTB ロッカーは複数の異なる Tor プロキシ サーバーを使用して隠されたサービスに到達しようし、また手動の手順を提供するには、マルウェアのサンプルは、感染したマシンから削除する必要があります。これらを含む web ブラウザーを介して Tor 隠されたサービスを訪問し、犠牲者が指定された公開キーをフォームに貼り付けます。

CTB-Locker Virus信頼性

様々 な公共サポート フォーラムの投稿を読んでは、多くの場合、身代金を支払うことになります CTB ロッカー被害者のファイルを復号化を示唆しています。「復号化テスト」機能は良い指標、復号化が可能です。

しかし、犠牲者する必要がありますまだ作ることを信頼、サイバー犯罪者が良いその約束を BTC で身代金の金額を渡した後。またある復号化を実行するために必要な秘密キーをホスト サーバー コンポーネントは閉鎖される可能性一時的にまたは永久に、復号化を不可能に作ることができます。それは、サイバー犯罪者は知っているにもかかわらず身代金を支払い続けます可能性がありますその状況で被害者のファイルを復号化する方法はありません。

統計情報

CTB ロッカー感染症のほとんどが、西ヨーロッパ、北アメリカ、オーストラリアで。これらの上記 Reddit の記事で説明されている層 1 国は一般的に言えばです。これらの国での犠牲者は、成功した支払いのランサムウェア著者の以前の経験に基づいて対象とする表示されます。

CTB Locker by countryサンプルの数字を見て、実際 CTB ロッカー サンプル数は CTB ロッカーをダウンロードに使用される Dalexis のサンプル数よりもはるかに低いことがわかります。ダウンローダーはスパムメールを非常に大きなボリュームで非常に迅速に検出を追加するセキュリティ製品を可能にするためにかなっています。各ファイルの小さな量を変更することでユニークな各サンプルを作るいくつかのチェックサム ベースの保護ソリューションは、すべてのサンプルを検出できなくなる可能性が増加します。

CTB Locker vs Delexis Sample保護

ソフォスの保護 CTB ロッカー HPmal/身代金-N と静的に検出名を含む配列の実行時: Troj/身代金-AKW Troj/タマネギ-D、Troj/Filecode-B、Troj/HkMain.

ソフォスの検出を含む検出名の配列で Dalexis/Elenoocka ダウンローダー: Troj/エージェント-AMTG、Troj/エージェント-AMKP、Troj/タクシー運転手-H、Troj/エージェント-アイロ、Troj/エージェント-AMNK、Troj/エージェント-AMNP、Troj/エージェント-塚本、Mal/タクシー運転手 B

これら腰署名しばしば満載、難読化または暗号化されたディスク上のファイルに関係なく展開されたメモリ コードを検出するとすべての更新プログラムは必要ありません。

HIPS を持つランサムウェアを積極的にブロックするテクノロジを有効にお勧めします。

あなたはランサムウェアが侵入するきたと思われる、私たちのVirus Removal Toolを使用してマルウェアを削除できます。悲しいことに、身代金を支払い以外戻ってあなたのファイルを得るために行うことができます多くはありません – 暗号化はクラックにも強い。

あなたの最新のウイルス対策を持つ以外は、防止またはユーザーが適用できるランサムウェアの感染症を武装解除する追加のシステム変更があります。

1 ですファイルをバックアップします。

ランサムウェアにあなたのファイルを失うことはないことを確認する最良の方法は定期的にバックアップを作成します。別にバックアップを格納するもキー – 説明したように、いくつかのランサムウェアの変種は、オフライン バックアップを保存する必要がありますので、あなたの回復を防ぐためにさらに戦術としてファイルの Windows シャドウ コピーを削除します。

2 定期的に windows とその他のソフトウェア更新プログラムを適用します。

あなたのシステムおよびアプリケーションを最新に保ちます。これはあなたのシステムを避けるために最善の機会を与える攻撃やランサムウェアをインストールするために知られている (特に Adobe Flash、Microsoft Silverlight、Web ブラウザーなどのソフトウェアの脆弱性をダウンロード ドライブによって使用して悪用されています。

3 です信頼されていない電子メールのリンクをクリックするか、迷惑メールの添付ファイルを開くを避ける。

ほとんどランサムウェアは、リンクをクリックするか、添付ファイルとして、スパム電子メール経由で到着します。良いメールのウイルス対策スキャナーを持っていることも積極的にランサムウェアにつながる妥協または悪意のある web サイトのリンクまたはバイナリ添付ファイルをブロックします。

4 Word、Excel などの Microsoft Office アプリケーションで無効にする ActiveX コンテンツ

我々 はバック グラウンドにおいてサイレント モードでランサムウェアをダウンロードことができますさらにマクロを含む多くの悪意のある文書を見てきました。

5 ファイアウォールをインストール、Tor と I2P、ブロックと特定のポートに制限します。

ネットワーク経由でそのコール ホーム サーバーに到達からマルウェアを防止するアクティブなランサムウェアのバリアントを解除することができます。など、効果的な対策は、ファイアウォールを介して I2P や Tor のサーバーへの接続をブロックします。

6 リモート デスクトップ接続を無効にします。

あなたの環境では必要ない場合、悪意のある著者はリモートであなたのマシンをアクセスできないように、リモート デスクトップ接続を無効にします。

7 バイナリの APPDATA % と % TEMP % パスから実行をブロックします。

ほとんどのランサムウェアのファイルは削除され実行から、ランサムウェアを妨げる実行をブロックするので、これらの場所から実行します。

Incoming search terms:

コメントを残す