Ransomware, comme toute autre menace cyber, est en constante évolution et l'ajout de nouvelles fonctionnalités à son ensemble de capacités. les programmes d'affiliation Ransomware sont également un facteur important, comme tout cybercriminel wannabe avec des compétences de base peuvent maintenant rejoindre et faire quelques (rançon) argent.
| Nom | CTB-Locker |
| Type | Ransomware |
| brève description | variante la plus récente de PFE-Locker cible les serveurs web. |
| Symptômes | Une partie de l'attaque est Défacement. L'interface du site est remplacé par ce qui semble être un message de rançon avec des instructions. |
| Méthode de distribution | Plutôt probable – exploiter les vulnérabilités de WordPress; plugins WordPress tiers; e-mails de spam. |
| Detection Tool | Télécharger Malware Removal Tool, voir si votre système a été affecté par des logiciels malveillants |
| Expérience utilisateur | Joignez-vous à notre forum pour discuter CTB-Locker. |
| Outil de récupération de données | Windows Data Recovery Stellar Phoenix Avis! Ce produit numérise vos secteurs d'entraînement pour récupérer des fichiers perdus et il ne peut pas récupérer 100% des fichiers cryptés, mais seulement quelques-uns d'entre eux, en fonction de la situation et si oui ou non vous avez reformaté votre lecteur. |
Parfois, il est tout à fait évident pour les chercheurs de cyber que le ransomware particulier a été fait par « débutants » ou « amateurs ». Et de tels cas finissent généralement avec le logiciel de décryptage publié et disponible pour les victimes de restaurer leurs fichiers. Cependant, dans d'autres cas, la ransomware dure.
CTB-Locker, ou l'oignon, est un parfait exemple de codeurs malveillants qui ne jamais abandonner et chercher de nouvelles façons de réinventer leur ransomware. Compte tenu de ses taux élevés d'infection et la destructivité générale, PFE-Locker a même été nommé l'un des top familles de ransomware 2015. Dans 2016, PFE-Locker continue d'être un joueur, avec une nouvelle variante vient de sortir dans la nature.
Quoi de neuf dans la nouvelle variante de PFE-Locker?
Essentiellement, la dernière variante des cibles de ransomware infâmes exclusivement serveurs web. Selon les chercheurs de Kaspersky Lab, plus que 70 serveurs (peut-être encore plus) à 10 pays ont déjà été attaqués avec succès. Heureusement, les chercheurs de Kaspersky ont pu procéder à une analyse technique détaillée en plusieurs victimes les contactées et les ont envoyés les « cryptors’ ce qui compromettait leurs serveurs web.
PFE-Locker Server Edition: Resume technique
La rançon exigée par la nouvelle variante est d'environ $150, ou moins d'un demi Bitcoin. Cependant, si le paiement de la rançon ne soit pas transféré à temps, la somme est doublée à $300. Une fois le paiement terminé, la clé de déchiffrement est généré et peut être utilisé pour restaurer les fichiers du serveur.
Les chercheurs ont pu découvrir que le processus d'infection a eu lieu en raison des failles de sécurité dans les serveurs Web des victimes. Une fois les vulnérabilités en question sont exploitées, le site est défiguré.
Qu'est-ce que Défacement?
Prochainement, Défacement est un type d'attaque qui change l'interface du site. Les pirates cassent généralement dans un serveur Web et remplacer le site hébergé par leur propre site Web (via Wikipedia). Les chercheurs ont conclu que la plupart des attaques récentes de défiguration ne sont pas aléatoires, mais peut avoir des motifs politiques ou culturels.
En ce qui concerne le message de rançon a chuté de la variante du serveur de PFE-Locker a.k.a. la version du site de PFE-Locker, il est un détail qui fournit quelques faits intéressants:
Comme visible, le Défacement est la note de rançon elle-même. Le code d'origine n'est pas supprimé et est stocké dans un état chiffré sur la racine web. Son nom est également modifiée.
Le trou de sécurité exacte qui déclenche l'attaque sur les victimes de serveurs web n'a pas encore été découvert. Cependant, bon nombre des attaques contre les serveurs ont une chose en commun – WordPress.
Ce n'est pas un secret pour personne que sites WordPress qui exécutent des versions obsolètes de la plate-forme sont pleins de vulnérabilités. En outre, WordPress a un autre point faible - plugins. L'utilisation de tiers, plugins suspects mis serveurs web au risque de diverses attaques et intrusions.
Plus sur le sujet: TeslaCrypt Diffusion via WordPress Compromis Sites
Une fois que la vulnérabilité est situé et exploité, et l'opérateur ransomware est à l'intérieur WordPress, le fichier site principal est remplacé et le processus de cryptage est lancée. Puis, le fichier principal est renommé, crypté et enregistré. Les chercheurs ont pu identifier deux différentes clés AES-256 sont utilisés dans les attaques.
1. create_aes_cipher($Keytest) - les deux fichiers encrypte qui peuvent être décryptés gratuitement.
2. create_aes_cipher($keypass) - le reste des encrypte les fichiers hébergés sur la racine web du serveur.
Une autre caractéristique présente dans l'édition particulière du serveur de PFE-Locker est que les opérateurs ransomware décrypte deux fichiers gratuitement. Cependant, la victime n'a pas la possibilité de choisir les fichiers pour le décryptage. Une salle de chat pour communiquer avec les opérateurs malveillants est également disponible.
Ransomware suppression manuelle et conseils de sauvegarde de données
Pour plus de détails techniques sur l'attaque, visite Kaspersky Lab.
Comme avec tous les cas ransomware, Les experts en sécurité’ des conseils est la sauvegarde toutes les données importantes, pas d'ouverture suspecte, e-mails inattendus, et ne pas utiliser des logiciels tiers. Ou dans le cas de WordPress – plugins.
Si vous avez été attaqué par cette variante particulière de PFE-Locker, ou un autre ransomware actuellement actif, vous pouvez suivre les étapes ci-dessous l'article.
Démarrez votre PC en mode sans échec
1. Pour Windows 7, XP et Vista.
2. Pour Windows 8, 8.1 et 10.Pour Windows XP, Vue, 7 systèmes:
1. Enlevez tous les CD et DVD, puis redémarrez votre PC à partir de la “Début” menu.
2. Sélectionnez l'une des deux options ci-dessous:
– Pour les PC avec un système d'exploitation unique: Presse “F8” à plusieurs reprises après le premier écran de démarrage apparaît pendant le redémarrage de votre ordinateur. Au cas où le Le logo Windows apparaît sur l'écran, vous devez répéter la même tâche.
– Pour les PC avec plusieurs systèmes d'exploitation: Тhe touches fléchées vous aideront à choisir le système d'exploitation que vous préférez commencer en Mode sans échec. Presse “F8” tout comme décrit pour un seul système d'exploitation.
3. Comme le “Options de démarrage avancées” écran apparaît, sélectionnez le Mode sans échec option que vous voulez en utilisant les touches fléchées. Comme vous faites votre sélection, presse “Entrer“.
4. Connectez-vous à votre ordinateur en utilisant votre compte d'administrateur
Bien que votre ordinateur est en mode sans échec, les mots “Mode sans échec” apparaîtra dans les quatre coins de votre écran.
Étape 1: Ouvrez le Le menu Démarrer
Étape 2: Tandis que Shift enfoncée bouton, cliquer sur Puissance puis cliquez sur Redémarrage.
Étape 3: Après le redémarrage, le menu apparaîtra aftermentioned. De là, vous devriez choisir Résoudre les problèmes.
Étape 4: Vous verrez le Résoudre les problèmes menu. Dans ce menu, vous pouvez choisir Options avancées.
Étape 5: Après le Options avancées menu apparaît, cliquer sur Paramètres de démarrage.
Étape 6: Cliquer sur Redémarrage.
Étape 7: Un menu apparaîtra au redémarrage. Vous devriez choisir Mode sans échec en appuyant sur le numéro correspondant et la machine va redémarrer.
Retirer CTB-Locker avec outil SpyHunter Anti-Malware
1. Installez SpyHunter pour rechercher et supprimer CTB-Locker.2. Scan avec SpyHunter pour détecter et supprimer CTB-Locker.
Il est fortement recommandé pour lancer un balayage avant d'acheter la version complète du logiciel pour vous assurer que la version actuelle du logiciel malveillant peut être détectée par SpyHunter.
Étape 2: Guide-vous par les instructions de téléchargement fournies pour chaque navigateur.
Étape 3: Après avoir installé SpyHunter, attendez qu'il jour automatiquement.
Étape 1: Après le processus de mise à jour terminée, clique sur le «Analyser l'ordinateur maintenant’ bouton.
Étape 2: Après SpyHunter a terminé la numérisation de votre PC pour tous les fichiers CTB-Locker, clique sur le «Fixer Menaces’ bouton pour les supprimer automatiquement et de façon permanente.
Etape 3: Une fois les intrusions sur votre PC ont été enlevés, il est fortement recommandé de redémarrer.
Sauvegardez vos données pour le sécuriser contre les attaques à l'avenir
IMPORTANT! Avant de lire les instructions de sauvegarde Windows, nous vous recommandons fortement de sauvegarder automatiquement vos données avec la sauvegarde des nuages et l'assurer contre tout type de perte de données sur votre appareil, même les plus graves. Nous vous recommandons de lire plus sur et le téléchargement SOS Online Backup .
Pour sauvegarder vos fichiers via Windows et d'empêcher toute intrusion futures, suivez ces instructions:
1. Pour Windows 7 et plus tôt 1. Pour Windows 8, 8.1 et 10 1. Activation de la fonction de Windows Défense (Versions Précédentes)1-Cliquer sur Menu Démarrer de Windows
2-Type Sauvegarde et restauration
3-Ouvrez-le et cliquez sur Configurer la sauvegarde
4-Une fenêtre apparaîtra vous demandant où configurer la sauvegarde. Vous devez avoir un lecteur flash ou un disque dur externe. Marquez en cliquant sur elle avec votre souris puis cliquez sur Suivant.
5-Dans la fenêtre suivante, le système vous demandera ce que vous voulez faire une sauvegarde. Choisir la «Permettez-moi à choisir» option et cliquez sur Next.
6-Cliquer sur «Enregistrer les paramètres et exécuter sauvegarde ' sur la prochaine fenêtre afin de protéger vos fichiers contre d'éventuelles attaques par CTB-Locker.
2-Dans le type de fenêtre 'Filehistory' et appuyez sur Entrer
3-Une fenêtre de l'historique des fichiers apparaîtra. Cliquer sur «Configurer les paramètres d'histoire de fichier '
4-Le menu de configuration de l'historique des fichiers apparaîtra. Cliquez sur «Activer». Après son sur, cliquez sur Sélectionner un lecteur afin de sélectionner le disque de sauvegarde. Il est recommandé de choisir un disque dur externe, SSD ou une clé USB dont la capacité de mémoire est correspondant à la taille des fichiers que vous souhaitez sauvegarder.
5-Sélectionnez le lecteur, puis cliquez sur «OK» afin de mettre en place la sauvegarde de fichiers et de vous protéger CTB-Locker.
1- Presse Bouton Windows + R clés.
2- Une fenêtre d'exécution devraient apparaître. Dans ce type de 'Sysdm.cpl’ puis cliquez sur Courir.
3- Une fenêtre Propriétés système devraient apparaître. Dans ce choix Protection du système.
5- Cliquer sur Tournez sur la protection du système et sélectionnez la taille sur le disque dur que vous souhaitez utiliser pour protéger le système.
6- Cliquer sur D'accord et vous devriez voir une indication dans Les réglages de protection que la protection contre la CTB Locker est.
Restauration d'un fichier via fonctionnalité Windows Défense:
1-Clic-droit sur le fichier crypté, puis choisissez Propriétés.
2-Cliquez sur le Versions Précédentes onglet, puis marquent la dernière version du fichier.
3-Cliquer sur Appliquer et D'accord et le fichier crypté par CTB-Locker doit être restaurée.
Retirer CTB-Locker Utilisation d'autres outils alternatifs
STOPZilla Anti MalwareÉtape 1: Télécharger STOPZilla par cliquant ici.
Étape 2: Une fenêtre pop-up apparaîtra. Cliquez sur le "Enregistrer le fichier’ bouton. Dans le cas contraire, cliquez sur le bouton Télécharger et enregistrer la suite.
Étape 3: Après avoir téléchargé le programme d'installation, simplement ouvrir.
Étape 4: Le programme d'installation devrait apparaître. Cliquez sur le 'Prochain’ bouton.
Étape 5: Vérifier la «I accept the agreement» vérifier cercle si pas vérifié si vous l'acceptez et cliquez sur le 'Prochain' touche une fois de plus.
Étape 6: Examiner et cliquez sur le 'Installer’ bouton.
Étape 7: Après le processus d'installation a terminé, cliquez sur le 'Terminer’ bouton.
2. Scannez votre PC avec STOPZilla Anti Malware pour supprimer tous les fichiers CTB-Locker associés complètement.
Étape 1: Lancez STOPZilla si vous ne l'avez pas lancé après l'installation.
Étape 2: Attendez que le logiciel pour scanner automatiquement et puis cliquez sur le «Réparation dès maintenant’ bouton. Si elle ne recherche pas automatiquement, clique sur le 'Scanne maintenant’ bouton.
Étape 3: Après l'élimination de toutes les menaces et les objets associés, vous devriez Redémarrez votre PC.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: