Prošle godine smo pisali o Cryptolockeru, izrazito opasnoj ransomware infekciji koja zaključa-va praktično sve korisničke podatke na računaru i traži otkup za odgovarajući ključ. Iako na teritoriji Srbije nismo imali prijavljenih slučajeva, delovali smo proaktivno i čitaoce upozorili na nepopravljive posledice ove infekcije za koju ni do danas nije pronađen adekvatan lek. Nažalost, ovog puta delujemo reaktivno nakon više prijava od početka godine o novoj podvrsti ransomware pretnje pod imenom CTB Locker. Ovog puta se nalazimo na vektorima širenja zaraze, u pitanju je sofisticiranija pretnja, a posledice su jednako bolne.
Za najavnu sliku članka rado bih postavio neku eksplicitnu, grafički intenzivnu scenu sa krvnim deliktima da što bolje dočaram horor koji prolaze korisnici dok bezuspešno traže rešenje za povratak svoje digatalne imovine, ali mi ipak verujte na reč. U nastavku ćemo se bolje upoznati sa pretnjom, njenim slabim tačkama i načinima da do najgoreg ne dođe.
Najveći broj dostupnih informacija o CTB Lockeru možete pronaći na online zajednici bleepingcomputer.com u članku CTB Locker and Critroni Ransomware Information Guide and FAQ. U nastavku ću preneti njihova saznanja i dodatne informacije koje sam prikupio sa ostalih lokacija. Korisni linkovi biće navedeni na kraju članka.
Sadržaj:
- Kako dolazi do infekcije sa CTB Lockerom?
- Kako funkcioniše CTB Locker ili “Citroni”?
- CTBL, CTBL2 i nasumične ekstenzije enkriptovanih fajlova?
- Šta treba uraditi kada otkrijete da vam je računar zaražen sa CTB Lockerom?
- CTB Locker nudi probno dekriptovanje 5 nasumično odabranih fajlova
- Šta se dešava ukoliko ne platite otkup na vreme?
- Da li je moguće da se dekriptuju ostali fajlovi osim tih 5 probnih?
- Kako pronaći fajlove enkriptovane sa CTB lockerom?
- CTB Locker i deljeni mrežni resursi
- Kako povratiti fajlove enkriptovane sa CTB Lockerom?
- CTB Locker servis za dekripciju
- Da li će plaćanje otkupnine zaista otključati fajlove?
- Kako sprečiti CTB Locker infekciju?
- CTB timeline i update
Kako dolazi do infekcije sa CTB Lockerom?
CBT Locker se distribuira kroz agresivne SPAM kampanje propagirane na određene geolokacije poput Evrope, Južne Amerike i sl. Spam poruke obično sadrže fax ili invoice obaveštenja u prilogu koja zahtevaju hitan odgovor. Otvaranje priloga (invoice.pdf.exe ili sl.) znači aktiviranje trojanca Win32/TrojanDownloaderElenoocka.A čija je uloga da kontaktira komandno-kontrolni centar i preuzme glavni deo infekcije, Win32/Filecoder.DA.Gen, poznatijeg pod imenom CTB Locker. CTB Locker dalje skenira i enkriptuje sva korisnička dokumenta na računaru i traži otkup u zamenu za ključ. Ovde nailazimo na prvu i najveću manu infekcije – čak iako otvorite prilog i trojanac prođe pored vašeg antivirusnog programa, proces preuzimanja CTB Lockera sa komandnog centra može da se prekine ukoliko imate firewall, tj. zaštitni zid u interaktivnom modu. U tom slučaju će firewall detektovati odlaznu komunikaciju trojanca i pitati korisnika da li to želi da dozvoli.
Kako funkcioniše CTB Locker ili “Citroni”
CTB Locker (Curve-Tor-Bitcoin Locker), takođe poznat kao Citroni, je malver za fajl-enkrip-ciju pušten sredinom Jula 2014. i cilja sve verzije Windows operativnog sistema. Kao i za bilo koji srodni malver, mediji ga pogrešno vezuju za CryptoLocker iako je u pitanju druga sajber kriminalna grupa koja koristi nove tehnologije poput kriptografije sa eliptičnom krivom i komunikaciju sa komandnim centrom preko TOR mreže. Kao što korisnik Kafeine navodi, Citroni se po svemu sudeći distribuira uz pomoć seta alata koji se prodaje online za 3.000 američkih dolara, a u cenu je uključena podrška za postavku i puštanje u rad. Imajući to u vidu, možemo da očekujemo još sličnih infekcija koje koriste isti alat, ali drugačiji interfejs. Više informacija o načinu prodaje ovog malvera možete naći na stranici Crypto Ransomware” CTB-Locker (Critroni.A) on the rise.
Kada inficira računar, CTB Locker neprimetno skenira sve fajlove u potrazi za korisničkim padacima i enkriptuje ih nakon čega korisnik više ne može da im pristupi. Prethodne verzije CTB Lockera su menjale ektenziju fajlova u CTB ili CTB2 dok trenutno aktuelna verzija dodaje nasumičnu ekstenziju. U sledećem koraku infekcija prikazuje ekran sa informacijom da su vaši podaci enkriptovani i uputstvom za plaćanje otkupa u kripto valuti od 2 BTC (Bitcoin). Ekvivalent u dolarima zavisi od kursa i trenutno iznosi oko 485 dolara.
Nakon infekcije, malver se pohranjuje u %Temp% folder sa nasumičnim imenom izvršnog fajla. U planeru zadataka operativnog sistema kreira skriveni zadatak sa nasumičnim imenom i izvršava ga svaki put kada se korisnik loguje. CTB Locker skenira sve drajvove na računaru u potrazi za korisničkim podacima koje će enkriptovati, a to uključuje diskove, mapirane diskove, mapirane deljene direktorijume i prenosive medijume. Praktično, ukoliko drajv postoji u My Computer prozoru, CTB Locker će ga skenirati.
Nakon što detektuje odgovarajući fajl, CTB Locker ga zaključava koristeći enkripciju sa eliptičnom krivom, jedinstvenom za ovu vrstu malvera. Kada završi skeniranje, prikazuje obaveštenje sa instrukcijama za plaćanje, menja desktop sliku i postavlja %MyDocuments%\AllFilesAreLocked <userid>.bmp fajl, koji sadrži ista uputstva. Na kraju kreira tekstualni fajl %MyDocuments%\-DecryptAllFiles <user_id>.txt i html fajl %MyDocuments%\<random>.html sa uputstvom za pristup malver sajtu i plaćanje otkupa. Više informacija o sajtu navešćemo u daljem tekstu.
Još jedna neobična karakteristika ove infekcije je da za komunikaciju sa Command & Control serverom koristi TOR mrežu umesto Interneta. Ova tehnika prikrivanja drastično otežava praćenje i lociranje komandnih servera.
Nakon restarta računara, malver pravi kopiju svog izvršnog fajla i zadatka koji će se startovati prilikom sledećeg logovanja, pa ne treba da čudi ako u %Temp% folderu naiđete na brojne kopije istog izvršnog fajla sa različitim imenom.
CTBL, CTBL2 i nasumične ekstenzije enkriptovanih fajlova?
Kada se inficirate sa CBT Lockerom, infekcija će enkriptovati vaše fajlove i dati im novu ekstenziju. Starije verzije CTB Lockera menjaju ektenziju u .ctbl ili .ctb2, dok novija verzija koristi nasumično odabrana imena poput .ftelhdd ili .ztswgmc. Ovi fajlovi predstavljaju vaše podatke u enkriptovanoj formi. Nema načina da se ti fajlovi otvore sem ukoliko ih nekako ne dekriptujete ili platite otkup. Ukoliko pokušate da otvorite fajl, odgovarajući program će vas obavestiti da je fajl korumpiran ili će vam naprosto prikazati nečitljivi sadržaj na ekranu. Jedini način za povratak fajlova je neki vid vraćanja na prethodno stanje (restore) ili plaćanje otkupa.
Šta treba da uradite kada otkrijete da vam je računar zaražen sa CTB Lockerom?
Ukoliko posumnjate da ste zaraženi sa CTB Lockerom (otvorili ste prilog iz spam poruke; otvorili .pdf fajl, a Acrobat Reader se nije pokrenuo; fajl je nestao posle pokretanja), odmah prekinite sve mrežne veze računara i hitno ga preskenirajte sa ažurnim antivirusnim programom. Nažalost, većina korisnika ne shvata da je zaražena ovom infekcijom sve dok se ne pojavi poruka sa obaveštenjem, a tada su fajlovi već enkriptovani. Skeniranje će ukloniti infekciju i sprečiti ponovno startovanje nakon logovanja korisnika. Za ručno uklanjanje je potrebno ukloniti izvršne fajlove infekcije iz %Temp% foldera, registry-ja i ukloniti skrivene zadatke Windows planera zadataka. Ipak, sve to neće vratiti enkriptovane fajlove u originalno stanje.
CTB Locker nudi probno dekriptovanje 5 nasumično odabranih fajlova
Varijanta koja se pojavila u avgustu prošle godine daje mogućnost probnog dekriptovanja 5 fajlova. Ukoliko u glavnom prozoru obaveštenja koji se prikazuje nakon enkripcije kliknete na dugme Next, biće vam ponuđeno da dekriptujete 5 fajlova besplatno. Kada kliknete na Search, pretraga će nasumično selektovati 5 fajlova i dekriptovati ih kao dokaz da je dekripcija moguća ukoliko platite otkup.
Šta se dešava ukoliko ne platite otkup na vreme?
Nakon infekcije i enkriptovanja, CTB Locker će vas obavestiti da imate 96 sati da platite otkup ili ćete zauvek izgubiti vaše fajlove. Ovo je deo taktike zastrašivanja jer ćete i nakon 96 moći da platite otkup, ali preko TOR sajta malvera. Kada tajmer završi odbrojavanje, prikazaće vam Time expired prozor sa instrukcijama kako da platite otkup:
Kada kliknete na Exit, program će se zatvoriti i malver obrisati sa sistema. Nakon toga možete otvoriti fajl pod imenom DecryptAllFiles.txt u Documents folderu i pratiti dalja uputstva za pristup CTB Locker sajtu za dekripciju.
Da li je moguće da se dekriptuju ostali fajlovi osim tih 5 probnih?
Nažalost, još uvek nema načina da pronađete ključ za dekripciju fajlova bez plaćanja otkupa na CTB Locker sajtu. Otkrivanje ključa bruteforce metodom nije realna opcija zbog dužine i potrebnog vremena da se razbije ova vrsta enkripcije. Takođe, nijedan alat za dekripciju objavljen od strane raznoraznih kompanija neće raditi sa ovom infekcijom. Jedini način da povratite fajlove bez plaćanja otkupa je uz pomoć backup-a, file-recovery alata ili, ukoliko imate sreće, iz Shadow Volume kopije.
Kako pronaći fajlove enkriptovane sa CTB lockerom?
Da biste videli listu svih enkriptovanih fajlova, otvorite %MyDocuments%\<random>.html ili %C:\Users\All Users\<random>.html fajl. Ovaj fajl ne uključuje samo uputstvo za plaćanje otkupa, već i spisak svih enkriptovanih fajlova.
CTB Locker i deljeni mrežni resursi
CTB Locker će enkriptovati deljena mrežna mesta samo ukoliko su ta mesta mapirana kao diskovi na inficiranom računaru. Ukoliko nisu mapirani, CBT Locker neće enkriptovati nijedan fajl na mrežnim folderima. Preporučuje se da osigurate sva deljena mesta tako što ćete dozvoliti upis samo onim grupama korisnika kojima je to neophodno ili autentikovanim korisnicima. Princip prava pristupa je važan sigurnosni aspekt, bez obzira na opasnost od CTB Lockera.
Kako povratiti fajlove enkriptovane sa CTB Lockerom?
Ukoliko su vaši fajlovi enkriptovani i ne želite da platite otkup, postoji nekoliko metoda za povratak fajlova u originalnu formu:
Metod 1: Backup
Prvi i najbolji metod za povrat je backup. Ukoliko praktikujete backup vaših podataka, nakon čišćenja infekcije možete pokrenuti proceduru za povrat (restore).
Metod 2: File-recovery softver
Pretpostavlja se da, prilikom procesa enkripcije, CBT Locker prvo pravi kopiju fajla, enkriptuje je, pa tek onda briše original. Mana ovakvog pristupa je potencijalna mogućnost da obrisane originale vratite uz pomoć nekog file-recovery softvera kao što je R-Studio ili Photorec. Važno je napomenuti da nakon enkripcije treba što manje koristiti računar jer upis novih fajlova otežava povrat ne-enkriptovanih, obrisanih fajlova.
Metod 3: Shadow Volume kopije
Kao poslednje utočište, možete pokušati da izvršite povrat vaših fajlova iz Shadow Volume kopije. Nažalost, CTB Locker će pre enkripcije pokušati da obriše sve Shadow Volume kopije na vašem računaru, ali budući da ponekad ne uspe u tome zbog nedovoljnih prava pristupa, proverite i tu opciju. Za više informacija o tome kako se vrši povrat ovom metodom posetite How to restore files encrypted by CTB Locker using Shadow Volume Copies.
Metod 4: Povrat DropBox foldera
Ukoliko vam je Dropbox nalog mapiran kao drajv na računaru, postoji velika verovatnoća da će CTB Locker i na njemu enkriptovati podatke. U tom slučaju posetite link How to restore files that have been encrypted on DropBox folders i saznajte kako možete da izvršite povrat originalnih fajlova.
CTB Locker servis za dekripciju
Programeri CTB Lockera su kreirali TOR veb sajt za komunikaciju sa žrtvama infekcije na kojem se mogu naći dalje instrukcije za plaćanje i dekriptovanje fajlova. Linkove ka ovom sajtu ćete naći u %MyDocuments%\AllFilesAreLocked <user_id>.bmp, %MyDocuments%\DecryptAllFiles <user_-id>.txt, i %MyDocuments%\<random>.html fajlovima koji su krairani nakon enkripcije. U momentu pisanja ovog uputstva, adresa TOR sajta je bila http://zaxseiufetlkwpeu.onion. Nakon otvaranja stranice, posetilac može da plati otkup slanjem bitcoin valute na određenu adresu. Ova adresa je jedinstvena za svakog korisnika i ne može biti korišćena ponovo.
Nakon plaćanja sajt čeka potvrdu o uplati i, navodno, šalje žrtvi ključ za dekripciju. Kada je u pitanju najnovija verzija CTB Lockera, do danas nije bilo potvrde da plaćanje otkupnine zaista rezultuje nekom vrstom ključa za dekripciju.
Da li će plaćanje otkupnine zaista otključati fajlove?
U ovom momentu je infekcija previše nova da bi bilo odgovora na ovo pitanje. Kako budu pristizale informacije, dopunjavaćemo FAQ.
Kako sprečiti CTB Locker infekciju?
Za sprečavanje infekcije se mogu iskoristiti grupne ili lokalne polise za kreiranje software restriction pravila koje će blokirati izvršavanje aplikacija na određenim lokacijama na disku. Za više informacija o tome kako se kreiraju software restriction polise, pogledajte ove MS članke:
http://support.microsoft.com/kb/310791
http://technet.microsoft.com/en-us/library/cc786941(v=ws.10).aspx
Putanje koje koristi CTB locker su:
C:\<random>\<random>.exe
C:\Users\<User>\AppData\Local\<random>.exe (Vista/7/8)
C:\Users\<User>\AppData\Local\<random>.exe (Vista/7/8)
C:\Documents and Settings\<User>\Application Data\<random>.exe (XP)
C:\Documents and Settings\<User>\Local Application Data\<random>.exe (XP)
%Temp%
Da biste blokirali CTB Locker, potrebno je da u pravila unesete putanje iz kojih infekcija neće moći da se startuje. To možete uraditi ručno, ali uz pomoć softvera napravljenog za tu namenu pod ime-nom CryptoPrevent. Obe metode su pojašnjene ovde.
CTB Locker timeline i update
U nastavku su navedeni važni datumi i promene vezane za CTB Locker.
Sredina jula 2014 – CBT Locker infekcija otkrivena prvi put
27. avgust 2014 – Nova varijanta uključuje probnu dekripciju 5 fajlova i ekstenziju .CTB2.
10. decembar 2014 – Nova varijanta koristi nasumične ekstenzije enkriptovanih fajlova
20. januar 2015 – Nova varijanta podržava Nemački, Italijanski, Holandski i Engleski jezik. Produže-no je i vreme otkupa na 96 sati.
U izradi teksta korišćen materijal sa:
http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information
http://malware.dontneedcoffee.com/2014/07/ctb-locker.html
http://www.welivesecurity.com/2015/01/21/ctb-locker-multilingual-malware-demands-ransome/
http://kb.eset.com/esetkb/index?page=content&id=SOLN3433
