Följande säkerhet rapport innehåller en omfattande analys av CTB Locker Ransomware virus, borttagning instruktioner och fil dekryptering metoder.
CTB Locker representerar en ny generation av datavirus som IT-säkerhetsbranschen hittills inte har hittat något tillförlitligt sätt att fixa, den enda chansen är att använda förebyggande åtgärder. Det är ett Ransomwareprogram, vilket innebär att offrets personliga filer påverkas i syfte att använda utpressning. Detta speciella test har ärvt de värsta funktionerna från dess föregångare, CryptoLocker och CryptoWall, och dessutom har den ytterligare skadliga funktioner som syftar till att kringgå ett antal tidigare motmedelsvektorer och gör det knappt möjligt för de drabbade användarna att återställa de ursprungliga filerna.
Författarna till denna Ransomware använder kit för sin spridning. PDF-program och Java-sårbarheter i ett datorsystem är de viktigaste faktorerna som gör det lättare att få en infektion. Dessutom har viruset en egenhet att intrånget är diskret och därför märker som regel endast användaren problemet när bakgrunden ändras till en bild vars skärmdump kan ses nedan. Bilden lagras som AllFilesAreLockedfil med bmp som filtyp under mappen Mina dokument på datorn.
Vad CTB Locker gör är att det krypterar offrets personliga filer. Dessa är alla populära filformat som upptäckts av Ransomware som skannar alla enheter i systemet, inklusive flyttbara media om det är isatt. Utifrån verkar det som om viruset omvandlar dataobjekt till ett annat format med filtyper som ser klumpiga ut, men i själva verket är en mer komplex historia än så. De ursprungliga versionerna av filerna raderas och deras kopior krypteras med en kryptografi av typen elliptiska kurvor. Dekrypteringsinstrument – nyckeln och dekrypteringsverktygen – är unika för varje infekterad dator och de lagras på en fjärrserver som endast kan nås via Tor. Med andra ord måste användaren installera Tor Browser Bundle för att göra dekryptering, vilket tyder på att skurkarna bryr sig om deras anonymitet.
Lösenord lämnas ut in inom 96 timmar (tidigare varianter av viruset gav lösen inom 72 timmar). Kostnaden är 0,2 Bitcoin. Ironiskt nog har skadeprogrammet en inbyggd tjänst som gör det möjligt att konvertera andra valutor till BTC. Dessutom, för att bevisa att systemet fungerar, erbjuder CTB Locker en gratis testdekryptering av 5 filer som den plockar på måfå. Tja, det verkar som att cyberutpressning med inslag av överseende är på modet just nu.
CTB Locker självt är inte särskilt svårt att bli av med. Vad som kan vara problematiskt är att få de personliga filerna tillbaka – de kända dekrypteringsmetoderna är i allmänhet värdelösa här eftersom Ransomware använder en mycket stark krypteringsalgoritm, så att göra en brute-force är inte ett alternativ. Som sagt, det finns tekniker som är värda att prova för att återställa de viktiga filerna utan att betala lösen. Innan du fortsätter med instruktionerna nedan, var medveten om att ifall du tar bort CTB Locker från datorn är det sannolikt inte längre är möjligt att betala brottslingarna för dekryptering, även om du skulle vilja göra det senare. Under tiden fortsätter säkerhetslaboratorier runt om i världen att arbeta hårt för att komma med effektiva motåtgärder mot Ransomware av detta slag.
Att ta bort CTB Locker är inte så svårt i sig. Faktum är att viruset även kan vara självförstörande efter filerna har krypterats, och tvingar offret att ta ställning till att betala lösen eller ej. Hur som helst bör Ransomware tas bort från datorn eftersom det kan göra att du blir smittad med andra virus. Ett optimalt arbetsflöde för rengöring är att utnyttja ett säkerhetsprogram som identifierar all potentiellt skadlig programvara på din dator och hanterar det på rätt sätt. Detta tillvägagångssätt säkerställer noggrannhet för flytt och systemsanering, och gör det möjligt att undvika oavsiktliga skador som kan uppstå till följd av manuell radering av skadekod.
Med tanke på att CTB Locker är ett mycket komplicerat och lurigt skadeprogram, finns det ingen garanti för att filerna kan hämtas utan att skicka en betalning i Bitcoin. Det finns dock några sätt, som kan vara till hjälp, trots att de är beroende av ett antal variabler. Var noga med att prova metoderna nedan.
1. Ta säkerhetskopior
Om du har säkerhetskopierat din information tillexempel till en molnlagring, är du en lycklig person. Det är bara att använda funktionen för att återställa data. Det är synd att inte fler människor kan skryta med sådant förutseende. Allt som allt är detta det bästa sättet.
2. Shadow Volume-Kopior
Även om CTB Locker tenderar att radera alla Shadow Volue-Kopior av filer på den drabbades dator, är det inte säkert att den gjort det. Om så är fallet, är chansen att du kan återställa dina uppgifter. Observera att detta tillvägagångssätt är tillämpligt endast om du hade en Systemåterställning som aktiverats före infektionen. Dessutom är de filer som du kan återställa på det här sättet inte nödvändigtvis de senaste versionerna. Se i så fall till att du provar någon av följande metoder:
3. Filåterställning med verktyg
Som nämnts om Ransomware ovan kan det radera de ursprungliga dataobjekten, och kryptera kopiorna i stället. Eftersom Windows, som alla vet, fortfarande lagrar dessa borttagna filer, varför inte försöka återställa dem med hjälp av programvara som skapades för detta ändamål? Vissa program kan göra detta, bland annat Data Recovery Pro. Kör verktyget och se om det kan extrahera dina borttagna data.
Sist men inte minst, en snabb påminnelse: avlägsnandet av CTB Locker från ett infekterat systemet innebär inte att filerna blir dekrypterade. För att försöka återställa dina data, använd metoderna ovan. Trots allt stämmer det att Ransomware är farligt och det måste utrotas för gott. För att vara säker på att CTB Locker har tagits bort, överväg att köra en extra säkerhetsskanning som en avslutande saneringsåtgärd.