El ransomware, al igual que cualquier otra amenaza cibernética, está en constante evolución y la adición de nuevas características a su conjunto de capacidades. programas de afiliación ransomware son también un factor importante, como cualquier aspirante a criminal cibernético con conocimientos básicos de ahora pueden unirse y hacer algo (rescate) dinero.
| Nombre | CTB-Locker |
| Escribe | El ransomware |
| Descripción breve | variante más reciente de CTB-Locker se dirige a los servidores web. |
| Los síntomas | Parte del ataque es la web de la desfiguración. La interfaz de la página web se sustituye por lo que parece ser un mensaje con instrucciones de rescate. |
| Método de distribución | Muy probable – explotando vulnerabilidades WordPress; terceros plugins de WordPress; correos electrónicos de spam. |
| Herramienta de detección | Descargar Malware Removal Tool, para ver si su sistema ha sido afectado por malware |
| Experiencia de usuario | Únete a nuestro foro Discutir CTB-Locker. |
| Herramienta de recuperación de datos | Ventanas de recuperación de datos de Stellar Phoenix darse cuenta! Este producto escanea los sectores del disco para recuperar archivos perdidos y no puede recuperarse 100% de los archivos cifrados, pero sólo unos pocos de ellos, dependiendo de la situación y de si está o no han reformateado la unidad. |
A veces, es bastante obvio para los investigadores cibernéticos que el ransomware particular fue hecha por ‘principiantes’ o ‘aficionados’. Y tales casos por lo general terminan con el software de descifrado liberado y disponible para las víctimas para restaurar sus archivos. Sin embargo, en otros casos, el ransomware perdura.
CTB-Locker, o cebolla, es un ejemplo perfecto de codificadores maliciosos que nunca se dio por vencido y buscar nuevas formas de reinventar su ransomware. Teniendo en cuenta sus altas tasas de infección y destrucción global, CTB-Locker incluso fue nombrado una de las principales familias de ransomware 2015. En 2016, CTB-Locker sigue siendo un jugador, con una nueva variante acaba de publicar en la naturaleza.
Novedades de la CTB-Locker nueva variante?
Esencialmente, la última variante de los objetivos ransomware infames exclusivamente servidores web. Según los investigadores de Kaspersky Lab, más que 70 servidores (posiblemente aún más) en 10 países ya han sido atacadas con éxito. Afortunadamente, Kaspersky investigadores fueron capaces de llevar a cabo un análisis técnico detallado como varias víctimas en contacto con ellos y les envían los ‘cryptors’ que comprometieron sus servidores web.
CTB-Locker Server Edition: Reanudar técnica
El rescate exigido por la nueva variante es de aproximadamente $150, o menos de un medio bitcoin. Sin embargo, si el pago de un rescate no se transfiere a tiempo, la suma se duplica a $300. Una vez que el pago se finalizó, la clave de descifrado se genera y se puede utilizar para restaurar los archivos del servidor.
Los investigadores fueron capaces de descubrir que el proceso de infección se llevó a cabo debido a los agujeros de seguridad en los servidores web de las víctimas. Una vez que las vulnerabilidades en cuestión son explotados, el sitio web ha sido borrado.
¿Qué es la web de la desfiguración?
Dentro de poco, desfiguración sitio web es un tipo de ataque que cambia la interfaz de la página web. Los atacantes generalmente se rompen en un servidor web y reemplazan el sitio web alojado con su propio sitio web (a través de Wikipedia). Los investigadores han llegado a la conclusión de que la mayor parte de los recientes ataques de desfiguración no son al azar, sino que tenga motivos políticos o culturales.
En cuanto al mensaje de rescate caído por la variante del servidor de CTB-Locker a.k.a. la versión web de CTB-Locker, es un detallado que proporciona algunos datos interesantes:
Como visible, la deformación del sitio Web es la misma nota de rescate. El código original no se borra y se almacena en un estado encriptado en la raíz de la web. Su nombre se cambió también.
El agujero de seguridad exacta que inicia el ataque a los servidores web de las víctimas aún no se descubre. Sin embargo, muchos de los ataques a los servidores tienen una cosa en común – WordPress.
No es un secreto para nadie que sitios web de WordPress que se ejecutan versiones no actualizadas de la plataforma están llenos de vulnerabilidades. Adicionalmente, WordPress tiene otro punto débil - plugins. El uso de terceros, plugins sospechosas ponen en riesgo los servidores web de varias intrusiones y ataques.
Más sobre el tema: TeslaCrypt Difusión a través de sitios web comprometidos WordPress
Una vez que la vulnerabilidad es identificar y explotar, y el operador ransomware es WordPress en el interior, el archivo principal sitio web se sustituye y se inicia el proceso de cifrado. Entonces, el archivo principal se cambia el nombre, cifrado y guardado. Los investigadores fueron capaces de identificar que dos claves diferentes AES-256 se utilizan en los ataques.
1. create_aes_cipher($Keytest) - cifra los dos archivos que pueden ser desencriptados libre.
2. create_aes_cipher($keypass) - cifra el resto de los archivos alojados en la raíz del servidor Web.
Otra característica peculiar presente en la edición de servidor de CTB-Locker es que los operadores ransomware descifrará dos archivos de forma gratuita. Sin embargo, la víctima no tiene la opción de elegir los archivos de descifrado. Una sala de chat para la comunicación con los operadores maliciosos también está disponible.
Eliminación manual ransomware y consejos de resguardo
Para más detalles técnicos sobre el ataque, visitar Kaspersky Lab.
Al igual que en todos los casos ransomware, expertos en seguridad’ consejos está dando marcha atrás todos los datos importantes, no abrir sospechosa, correos electrónicos inesperados, y no usar software de terceros. O en el caso de WordPress – plugins.
Si usted ha sido atacado por esta variante particular de CTB-Locker, u otra ransomware activo actualmente, puede seguir los pasos a continuación del artículo.
Inicie su PC en modo seguro
1. Para Windows 7, XP y Vista.
2. Para Windows 8, 8.1 y 10.Para Windows XP, Vista, 7 sistemas:
1. Retire todos los CDs y DVDs, y reinicie el PC desde el “Comienzo” menú.
2. Seleccione una de las dos opciones que aparecen a continuación:
– En PC con un solo sistema operativo: Prensa “F8” en varias ocasiones después de la primera pantalla de arranque aparece durante el reinicio del ordenador. En caso de que el Logotipo de Windows aparece en la pantalla, usted tiene que repetir la misma tarea de nuevo.
– Para PC con múltiples sistemas operativos: Тhe teclas de flecha le ayudarán a seleccionar el sistema operativo prefiere empezar en Modo seguro. Prensa “F8” tal como se ha descrito para un solo sistema operativo.
3. Como el “Opciones avanzadas de inicio” Aparece la pantalla, seleccionar el Modo seguro opción que desee mediante las teclas de flecha. Como usted hace su selección, prensa “Entrar“.
4. Inicie sesión en el ordenador utilizando la cuenta de administrador
Mientras el ordenador está en modo seguro, las palabras “Modo seguro” aparecerá en las cuatro esquinas de la pantalla.
Paso 1: Abre el Menu de inicio
Paso 2: Mientras que manteniendo pulsado Shift botón, haga clic en Poder y luego haga clic en Reanudar.
Paso 3: Después de reiniciar el sistema, aparecerá el menú aftermentioned. Desde allí se debe elegir Solucionar problemas.
Paso 4: Verá el Solucionar problemas menú. Desde este menú se puede elegir Opciones avanzadas.
Paso 5: Después de la Opciones avanzadas Aparece el menú, haga clic en Configuración de inicio.
Paso 6: Haga clic en Reanudar.
Paso 7: Aparecerá un menú al reiniciar. Usted debe elegir Modo seguro pulsando su número correspondiente y la máquina se reiniciará.
Retire CTB-Locker con la herramienta de SpyHunter Anti-Malware
1. Instalar SpyHunter para buscar y eliminar CTB-Locker.2. Escanear con SpyHunter para Detectar y eliminar CTB-Locker.
Es muy recomendable para realizar un análisis antes de comprar la versión completa del software para asegurarse de que la versión actual del malware puede ser detectado por SpyHunter.
Paso 2: Guiarse por las instrucciones de descarga previstas cada navegador.
Paso 3: Después de haber instalado SpyHunter, esperar a que se actualizar automáticamente.
Paso 1: Después de que el proceso de actualización ha terminado, clickea en el 'Scan equipo ahora’ botón.
Paso 2: Después de SpyHunter ha terminado de escanear su PC en busca de archivos CTB-Locker, clickea en el 'Fijar Amenazas’ botón para eliminar de forma automática y permanentemente.
Paso 3: Una vez que se han eliminado las intrusiones en su PC, se recomienda encarecidamente a reiniciarlo.
Copia de seguridad de sus datos para asegurarlo contra ataques en el futuro
IMPORTANTE! Antes de leer las instrucciones de copia de seguridad de Windows, es muy recomendable realizar una copia de seguridad de los datos de copia de seguridad de forma automática con la nube y asegurarlo contra cualquier tipo de pérdida de datos en el dispositivo, incluso la más severa. Recomendamos leer más sobre la descarga y SOS Online Backup .
Para realizar una copia de seguridad de sus archivos a través de Windows y evitar cualquier intrusión futuras, siga estas instrucciones:
1. Para Windows 7 y anterior 1. Para Windows 8, 8.1 y 10 1. Habilitación de la función de Windows Defensa (Versión Anterior)1-Haga clic en Menú Inicio de Windows
2-Escribe Copia de seguridad y restaurar
3-Abrir y haga clic en Crear una copia de seguridad
4-Aparecerá una ventana preguntando dónde configurar la copia de seguridad. Usted debe tener una unidad flash o un disco duro externo. Marque haciendo clic en él con el ratón a continuación, haga clic en Siguiente.
5-En la siguiente ventana, el sistema le preguntará qué es lo que quieres hacer copias de seguridad. Elegir el 'Dejame elegir' opción y luego haga clic en Siguiente.
6-Haga clic en "Guardar la configuración y ejecución de copia de seguridad ' en la siguiente ventana con el fin de proteger sus archivos de posibles ataques por CTB-Locker.
2-En el tipo de ventana 'FileHistory' y pulse Entrar
3-Aparecerá una ventana Historial del archivo. Haga clic en 'Configuración del historial de archivos Configurar'
4-Aparecerá el menú de configuración de la historia del archivo. Haga clic en "Activar". Tras su encendido, haga clic en Seleccionar unidad con el fin de seleccionar la unidad de copia de seguridad. Se recomienda elegir un disco duro externo, SSD o una memoria USB cuya capacidad de memoria se corresponde con el tamaño de los archivos que desea hacer copia de seguridad.
5-Seleccione la unidad y haga clic en "Aceptar" con el fin de crear copias de seguridad de archivos y protegerse de CTB-Locker.
1- Prensa Botón de Windows + R llaves.
2- Aparecerá una ventana de ejecución. En el tipo que 'Sysdm.cpl’ y luego haga clic en Carrera.
3- Deben aparecer BIENES Sistema de ventanas. En ella elija Proteccion Del Sistema.
5- Haga clic en Encienda la protección del sistema y seleccione el tamaño en el disco duro que desea utilizar para la protección del sistema.
6- Haga clic en OK y usted debe ver una indicación de Configuración de la protección que la protección de la CTB-Locker es en.
Restauración de un archivo a través de las características de Windows Defensa:
1-Botón derecho del ratón en el archivo cifrado, a continuación, seleccione Propiedades.
2-Haga clic en el Versión Anterior pestaña y luego marcan la última versión del archivo.
3-Haga clic en Aplicar y OK y el archivo cifrado por CTB-Locker debe ser restaurado.
Retire CTB-Locker uso de otras herramientas alternativas
Stopzilla Anti MalwarePaso 1: Descargar STOPzilla por clic aquí.
Paso 2: Aparecerá una ventana emergente. Haga clic en el 'Guardar el archivo’ botón. Si no lo hace, haga clic en el botón Descargar y guárdelo después.
Paso 3: Después de haber descargado el programa de instalación, simplemente ábrelo.
Paso 4: Debe aparecer el instalador. Haga clic en el 'Próximo’ botón.
Paso 5: Comprobar el 'Acepto el acuerdo' comprobar círculo si no se comprueba si la acepta y hace clic en la 'Próximo' botón una vez más.
Paso 6: Revisar y haga clic en el 'Instalar’ botón.
Paso 7: Después de que el proceso de instalación ha finalizado, haga clic en el 'Acabado’ botón.
2. Escanear su PC con Stopzilla Anti Malware para eliminar todos los archivos CTB-Locker asociados completamente.
Paso 1: Lanzamiento Stopzilla si no se ha puesto en marcha después de instalar.
Paso 2: Espere a que el software para escanear automáticamente y luego haga clic en el 'Reparación Ahora’ botón. Si no escanea automáticamente, clickea en el 'Escanear ahora’ botón.
Paso 3: Después de la eliminación de todas las amenazas y objetos asociados, debieras Reinicie su PC.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: