Зміст
Що таке CTB Locker або Critroni?
Які розширення додаються до зашифрованих файлів(CTBL або CTB2 , чи є інші)?
Що робити, якщо Ви виявите, що ваш комп‘ютер заражений з CTB Locker?
Як знайти файли, які були зашифровані за допомогою CTB Locker
Новий варіант CTB Locker пропонує безкоштовну розшифровку 5 файлів.
Чи можна розшифрувати файли, зашифровані CTB Locker, крім тестових файлів 5?
CTB Locker і мережеві ресурси
Що таке CTB Locker або Critroni?
CTB Locker (Curve-Тор-Bitcoin Locker),по-іншому відомий як Critroni, є вірусом який шифрує Ваші файли (шифрування - подібне до архівування з паролем кожного файлу окремо) і за те, щоб їх розшифрували зловмисники просять оплату. Вірус було випущено в середині липня 2014, вірус спрямований на всі версії Windows, включаючи Windows XP, Windows Vista, Windows 7 і Windows, 8. Вірус є подібним до вірусу CryptoLocker , але він був розроблений іншою групою проргамістів, з використанням нових технології, таких як еліптична криптографія і маілваре-програми (які використовується для зв‘язку з сервером збереження паролів TOR). Як виявилось, у вірусі використана частина вірусного коду, який продається онлайн за $ 3000. З урахуванням сказаного, ми очікуємо побачити інших вірусів-вимагачів, написаних на базі цього ж коду, але, можливо, вони матимуть інший вигляд.
Коли комп"ютер вперше інфіковано CTB Locker, вірус буде сканувати комп‘ютер на наявність Вордівських файлів(doc docx) і картинок, усі знайдені файли буде зашифровано і видалено оригінали файлів. У попередні версії вірусу до зашифрованих файлів додавалось розширення СТВ або CTB2. Поточна версія вірусу тепер додає випадкові розширення для різних комп"ютерів до зашифрованих файлів. Після завершення шифрування файлів відкриється вікно, з інформацією про те, що ваші дані були зашифровані і Ви побачите прозицію слідувати інструкціям на екрані, щоб дізнатися, як придбати і оплатити викуп у розмірі 0.5 - 8 біткоїнів(крипто валюта, яку неможливо відстежити і знайти отримувача). Ця сума викупу еквівалентна приблизно $ 120,00 - 1600 доларів США.
Після попадпння вірусу CTB Locker на комп"ютер , вірус зберігається в папку %% Temp з випадковим іменем виконуваного файлу з розширенням *.exe. Потім буде створено приховані завдання в Списку завдань Windows з випадковим іменем, які запускають вірус кожен раз, коли Ви увійшли в систему. Після зараження CTB Locker буде сканувати диски Вашого комп‘ютера на наявність Вордівських файлів і картинок. Вірус сканує всі диски на вашому комп‘ютері, включаючи підключення диски, знімні диски і підключені мережеві диски.
Коли CTB Locker завершує сканування дисків і шифрування файлів(процес шифрування може тривати декілька днів а то і тижнів з моменту зараження) він відобразить екран викупу, який включає інструкції про те, як заплатити викуп. Вірус такоє змінить картинку робочого столу, в папці % MyDocuments% \ AllFilesAreLocked <ім"я користувача> .bmp файл, який містить додаткову інструкцію про те, як заплатити викуп, також вірус створить файли % MyDocuments% \ DecryptAllFiles <user_id> .txt і % MyDocuments% \ <довільний> .html, які також містять інструкції про те, як отримати доступ до сайту вірусу, для того, щоб заплатити викуп. Більш детальну інформацію про викуп буде описано нижче.
Кожен раз, коли Ви перезавантажте комп‘ютер, вірус програма копіює себе з новим ім‘ям в папку %% Temp, а потім створює нове завдання в планувальнику завдань .
Які розширення додаються до зашифрованих файлів(CTBL або CTB2 , чи є інші)?
Вірус CTB Locker або Critroni, буде шифрувати ваші файли, а потім перейменувати їх в нове розширення. Старі версії CTB-Locker змінювали розширення файлу на .CTBL або .CTB2, остання версія вірусу додає випадкові розширення, наприклад .ftelhdd або .ztswgmc. Таким чином, ці файли важко виявити доки вірус не завершив шифрування всіх файлів. Зараз немає ніякого способу, щоб відкрити зашифрований файл, якщо Ви спершу не розшифрували його, заплативши викуп. Якщо Ви спробуєте відкрити файл за допомогою Ворда, Ви побачете , що файл пошкоджений або просто побачите спотворений текст на екрані. Єдиний спосіб відновити ці файли, знайти їх копію на іншому не зараженому комп"ютері або заплатити викуп.
Що робити, якщо Ви виявите, що ваш комп‘ютер заражений з CTB Locker
Якщо Ви виявите, що ваш комп‘ютер заражений з CTB Locker Ви повинні негайно просканувати комп‘ютер з антивірусом. На жаль, більшість людей не розуміють, що CTB Locker вже є на їх комп‘ютері, поки не з‘явиться вікно з вимогою викупу і ваші файли вже зашифровані. Сканування, не допоможе відновити дані!!!! , про те Ви зможете виявити вірус і видалити його з Вашого комп‘ютера, щоб він більше не запускався при вході в Windows і не шифрував Ваші нові документи і фото.
Щоб вручну видалити вірус Ви повинні видалити всі виконувані файли з папки% папці% Temp, а потім очистіть список прихованих завданнь в Windows Task Scheduler. Це усуне основну інфекцію, але не відновить зашифровані файли.
Як знайти файли, які були зашифровані за допомогою CTB Locker
Щоб побачити список файлів, зашифрованих за допомогою вірусу можна відкрити% MyDocuments% \ <випадкове> .html файл. Цей файл не тільки включає в себе інструкції викупу, а також містить список файлів, які були зашифровані вірусом.
Новий варіант CTB Locker пропонує безкоштовний розшифровку 5 файлів.
Новий варіант Critroni, інакше CTB Locker, тепер забезпечує можливість розшифровки 5 файлів, як доказ того, що розробники вірусу можуть відновити ваші файли. РОзшиврувати 5 файлів можна з головного вікна вірусу, яке з‘являється на робочому столі, , якщо Ви натиснете "Наступна" Вам буде запропоновано, розшифрувати 5 файлів безкоштовно.
Безкоштовний Розшифровка
Натисніть на зображення, щоб побачити повний розмір та інші пов‘язані з ними образи.
При натисканні на кнопку пошуку, він буде випадковим чином вибирати 5 зашифровані файли, а потім розшифрувати їх для вас. Це робиться для того, доказ того, що платити викуп буде насправді дозволить вам відновити ваші файли.
Чи можна розшифрувати файли, зашифровані CTB Locker?
На жаль, в даний момент немає ніякого способу, щоб отримати секретний ключ, який може бути використаний для розшифровки файлів без сплати викупу на СТВ Locker сайту. Спроба підбору ключа дешифрування нереальна через складність ключа, на його розшифрування треба затратити багато часу. Крім того, будь-які розшифровки інструменти, які були випущені різними фірмами для інших версій вірусу не працюватиме з цим підвидом вірусу. Єдиними методами, відновити ваші файли є використання інструментів відновлення витертих файлів, або якщо ваша система робила тіньове копіювання дисків..
CTB Locker і мережеві ресурси
CTB Locker буде шифрувати файли даних на мережевих дисках тільки якщо мережевий ресурс відображається як буква диска на зараженому комп‘ютері. Якщо він не відображається як буква диска, то CTB Locker НЕ БУДЕ шифрувати будь-які файли на мережевому ресурсі.
Настійно радимо вам захистити всі відкриті ресурси, дозволяючи доступ на запис лише до необхідних груп користувачів або авторизованих користувачів. Це важливий принцип безпеки, який повинен бути використаний в будь-який час незалежно від вірусів, таких як СТВ Locker.
Як відновити файли, зашифровані CTB Locker
На форумі антивірусу касперського ведеться обговорення можливих варіантів відновлення http://forum.kaspersky.com/index.php?s=25f6ddfd45e29cb1e516eee17f620a77&showforum=18
Якщо ваші файли стали зашифровані і Ви не збираєтеся платити викуп, то є кілька способів, якими можна спробувати відновити втрачені файли.
всі нижче наведені способи описують як ви можете відновити ваші файли, якщо ви вже таки користувались резервним копіюванням даних
Метод 1: резервне копіювання
Перший і найкращий спосіб, щоб відновити дані з останньої резервної копії. Якщо Ви були виконанні резервного копіювання, то Ви повинні використовувати резервні копії для відновлення даних.
Спосіб 2: File Recovery Software
Схоже, що, коли CTB Locker шифрує файл, він спочатку робить копію, шифрує копію, а потім видаляє оригінал. Через це Ви можете зможе використовувати програмне забезпечення для відновлення файлів, таких як R-Studio або Photorec відновити деякі з ваших вихідних файлів. Важливо відзначити, що чим більше Ви використовуєте ваш комп‘ютер(записуєте витираєте файли) після того, як файли зашифровані вам важче буде відновити видалені незашифровані файли.
Метод 3: Тіньові Копії дисків
В крайньому випадку, Ви можете спробувати відновити файли за допомогою тіньових копій диску(у Вас це мало бути попередньо налаштовано). На жаль, цей вірус буде намагатися видаляти будь Shadow Volume копії на вашому комп‘ютері, але іноді йому не вдається зробити це, і Ви можете використовувати їх для відновлення файлів. (читайте детально нижче)
Метод 4: відновлення DropBox папок
Якщо Ви ваш екаунт Dropbox відображається як буква диска, то цілком можливо, що його вміст шифрується CTB Locker. Якщо це так, Ви можете знайти нижче інструкцію віновлення файлів з дробокс
Як відновити файли, зашифровані CTB Locker, якщо система робила тіньові копії дисків
Якщо у Вас була ввімкнен служба System Restore на комп‘ютері, Windows створює тіньові копії дисків, які містять копії файлів. Ці знімки можуть дозволити нам відновити попередню версію наших файлів до того ніж вони були зашифровані. Цей метод дозволяє відновити файли але вони можуть бути не останньою версією файлу. Будь ласка, зверніть увагу, що тіньове копіювання доступне тільки з Windows XP Service Pack 2, Windows Vista, Windows 7, і Windows 8.
Примітка: Нові варіанти вірусу CTB Locker будуть намагатися видалити всі тіньові копії при першому запуску вірусу на комп‘ютері після інфікування. На щастя, вірус не завжди в змозі видалити тіньові копії, так що Ви повинні спробувати відновити свої файли за допомогою цього методу.
У цьому розділі ми пропонуємо два методи, які можна використовувати для відновлення файлів і папок створених при тіньовому копіюванні. Перший спосіб полягає у використанні вбудованих функцій Windows, і другий спосіб полягає у використанні програми, яка називається Shadow Explorer. Спроьуйте котрий спосіб є кращим для Вас.
Використання функцій Windows для відновлення прихованих копій:
Для відновлення окремих файлів можна натиснути правою кнопкою миші на файлі, перейдіть в Властивості і перейдіть на вкладку Попередні версії. На цій вкладці перераховані всі копії файлу, які були збережені тіньовим копіюванням і дати, коли вони були зроблені як показано на малюнку нижче.
Для відновлення конкретну версію файлу, натисніть на кнопку Copy, а потім виберіть каталог, в який Ви хочете відновити файл. Якщо Ви хочете відновити вибраний файл і замінити існуючий, натисніть на кнопку Відновити. Якщо Ви хочете переглянути вміст конкретного файлу, Ви можете натиснути на кнопку Відкрити, щоб побачити вміст файлу перед тим, як його відновити.
Цей же метод може бути використаний для відновлення цілих папок. Просто клацніть правою кнопкою миші на папці та виберіть Властивості, а потім вкладку Попередні версії. В
Використання Shadow Explorer:
Ви також можете використовувати програму під назвою Shadow Explorer, щоб відновити цілі папки відразу. При завантаженні програми, Ви можете вибрати повну установку або портативну версію які мають ту ж функціональність.
Коли Ви запустите програму вам буде показаний екран зі списком всіх дисків і список дат коли була створена тіньова копія. Виберіть диск (синя стрілка) і дату (червона стрілка), який Ви хочете відновити базу даних. Це показано на малюнку нижче.
Для відновлення цілої папки, клацніть правою кнопкою миші на імені папки і виберіть Export. Вам буде запропоновано, де Ви хотіли б відновити вміст папки.
Як відновити файли, які були зашифровані на DropBox папках
Якщо Ваш DropBox відображається як буква диска на зараженому комп‘ютері, CTB Locker намагатиметься шифрувати файли на диску. DropBox дозволить вам відновити зашифровані файли через веб-сайт. На жаль, процес Restoral який пропонуэ DropBox тільки дозволяє відновити один файл, в одночас, а не всю папку.
Для відновлення файл, просто увійдіть в веб-сайті DropBox і перейдіть до папки, яка містить зашифровані файли, які Ви хочете відновити. Коли Ви перебуваєте в папці, клацніть правою кнопкою миші на зашифрованому файлі і виберіть попередні версії, як показано на малюнку нижче.
При натисканні на пункті меню "попередні версії" буде представлений екран, який показує всі версії зашифрованого файлу.
Виберіть версію файлу, який Ви хочете відновити, і натисніть на кнопку Відновити, щоб відновити цей файл.
На жаль, описаний вище процес може зайняти дуже багато часу, якщо є багато папок для відновлення. Для того, щоб відновити всю папку зашифрованих файлів, Ви можете використати скрипт нписаний на pyton. Зверніть увагу, що цей скрипт вимагає установки Python на зараженому комп‘ютері, щоб виконати сценарій. Інструкції про те, як використовувати цей сценарій можна знайти в README.md.
Як захистити комп‘ютер від зараження CTB Locker
Ви можете використовувати налаштування обмеження доступу до певнихпапок. Для отримання більш докладної інформації про те, як налаштувати політики обмеженого використання програм, див ці статті :
http://support.microsoft.com/kb/310791
http://technet.microsoft.com/en-us/library/cc786941(v=ws.10).aspx
шляхи до файлів, які були використані цим вірусом,:
C: \ <довільний> \ <випадкове> .exe
C: \ Users \ <Користувач> \ AppData \ Local \ <довільний> .exe (Vista / 7/8)
C: \ Users \ <Користувач> \ AppData \ Local \ <довільний> .exe (Vista / 7/8)
C: \ Documents і Settings \ <User> \ Application Data \ <довільний> .exe (XP)
C: \ Documents і Settings \ <User> \ Local Application Data \ <довільний> .exe (XP)
% Temp%
