Ransomware, wie jede andere Cyber-Bedrohung, ständig weiterentwickelt und um neue Funktionen für seine Reihe von Funktionen. Ransomware Affiliate-Programme sind auch ein großer Faktor, wie jede wannabe Cyberkriminellen mit grundlegenden Fähigkeiten können sich jetzt an und einige machen (Lösegeld) Geld.
| Name | CTB-Locker |
| Art | Ransomware |
| kurze Beschreibung | CTB-Locker jüngste Variante zielt auf Webservern. |
| Symptome | Ein Teil des Angriffs ist defacement. Die Schnittstelle Webseite wird ersetzt durch das, was erscheint mit Anweisungen ein Löse Nachricht zu sein. |
| Verteilungsmethode | Ziemlich wahrscheinlich – Ausnutzen Wordpress Schwachstellen; Drittanbieter-Wordpress-Plugins; Spam-E-Mails. |
| Detection Tool | Laden Sie Malware Removal Tool, um festzustellen, ob Ihr System von Malware betroffen ist |
| Benutzererfahrung | Registriert unserem Forum diskutieren CTB-Locker. |
| Data Recovery-Tool | Windows Data Recovery von Stellar Phoenix Beachten! Dieses Produkt scannt Ihr Laufwerk Sektoren verlorene Dateien wiederherzustellen, und es kann sich nicht erholen 100% der verschlüsselten Dateien, aber nur wenige von ihnen, je nach Situation und ob Sie das Laufwerk neu formatiert haben. |
Manchmal, es ist ganz für Cyber-Forscher offensichtlich, dass die besondere Ransomware von ‚Anfänger‘ oder ‚Amateure‘ gemacht. Und solche Fälle am Ende in der Regel mit Entschlüsselungssoftware freigegeben und verfügbar für die Opfer ihre Dateien wiederherstellen. Jedoch, in anderen Fällen, die Ransomware erträgt.
CTB-Locker, oder Zwiebel, ist ein perfektes Beispiel für böswillige Programmierer, die nie neue Wege aufgeben und versuchen, ihre Ransomware neu zu erfinden. In Anbetracht der hohen Infektionsraten und die allgemeine Destruktivität, CTB-Locker wurde sogar eine der genannten Top-Ransomware Familien 2015. In 2016, CTB-Locker weiterhin ein Spieler sein, mit einer neuen Variante nur in die Freiheit entlassen.
Was ist neu in CTB-Locker Neue Variante?
Im Wesentlichen, die neueste Variante der berüchtigten Ransomware Ziele ausschließlich Web-Server. Nach Ansicht der Forscher bei Kaspersky Lab, mehr als 70 Server (vielleicht sogar mehr) in 10 Länder wurden bereits angegriffen erfolgreich. Zum Glück, Kaspersky Forscher waren in der Lage, eine detaillierte technische Analyse durchzuführen, wie mehrere Opfer sie kontaktiert und schickte sie die ‚cryptors’ dass ihre Web-Server kompromittiert.
CTB-Locker Server Edition: Technische Zusammenfassung
Das Lösegeld von der neuen Variante gefordert ist etwa $150, oder weniger als eine halbe bitcoin. Jedoch, wenn das Lösegeld nicht rechtzeitig übertragen, die Summe wird verdoppelt $300. Sobald die Zahlung abgeschlossen, der Entschlüsselungsschlüssel erzeugt und kann verwendet werden, die Server-Dateien wiederherstellen.
Die Forscher waren in der Lage zu entdecken, dass die Infektion Prozess stattfand, wegen Sicherheitslücken in den Webservern der Opfer. Sobald die betreffenden Sicherheitslücken ausgenutzt, die Website ist unkenntlich.
Was ist defacement?
Kurz, defacement ist eine Art von Angriff, der die Schnittstelle der Website ändert. Angreifern brechen in der Regel in einem Web-Server und ersetzen Sie die gehostete Website mit ihrer eigenen Website (über Wikipedia). Forscher haben festgestellt, dass die meisten der jüngsten Verunstaltung Angriffe sind nicht zufällig, sondern kann politische oder kulturelle Motive haben.
Wie für die Löse Nachricht von der Server-Variante von CTB-Locker fällt a.k.a. die Website-Version von CTB-Locker, es ist eine detaillierte ein, dass einige interessante Fakten liefert:
Wie sichtbar, die defacement ist der Erpresserbrief selbst. Der ursprüngliche Code wird nicht gelöscht, und wird in einem verschlüsselten Zustand an der Webstamm gespeicherten. Sein Name ist auch geändert.
Die genaue Sicherheitslücke, die den Angriff auf der Opfer-Webserver initiiert, wird noch nicht entdeckt. Jedoch, Viele der Angriffe auf den Servern haben eines gemeinsam – Wordpress.
Es ist kein Geheimnis, dass Wordpress-Websites, die veraltete Versionen der Plattform laufen voller Schwachstellen sind. Außerdem, Wordpress hat eine weitere Schwachstelle - Plugins. Unter Verwendung von Drittanbietern, verdächtige Plugins setzen Web-Server in Gefahr verschiedenen Angriffe und Einbrüche.
Mehr zum Thema: TeslaCrypt Verbreitung über Compromised Wordpress Websites
Sobald die Verwundbarkeit befindet und ausgebeutet, und der Ransomware-Operator ist innerhalb Wordpress, die Haupt-Website-Datei ersetzt und der Verschlüsselungsvorgang wird eingeleitet. Dann, die Hauptdatei wird umbenannt, verschlüsselt und gespeichert. Die Forscher waren in der Lage zu erkennen, dass zwei verschiedene AES-256-Tasten in den Angriffen verwendet werden,.
1. create_aes_cipher($Schlüsseltest) - verschlüsselt die beiden Dateien, die frei entschlüsselt werden können.
2. create_aes_cipher($keypass) - verschlüsselt den Rest der Dateien auf dem Server Web-Root gehostet.
Eine weitere Besonderheit in der Server-Ausgabe von CTB-Locker ist, dass die Ransomware Operator zwei Dateien kostenlos entschlüsseln. Jedoch, das Opfer nicht über die Möglichkeit, die Dateien für die Entschlüsselung zu wählen. Ein Chat-Raum für die Kommunikation mit den böswilligen Betreiber ist ebenfalls verfügbar.
Ransomware Removal Handbuch und Daten-Backup-Tipps
Weitere technische Details über den Angriff, Besuch Kaspersky Lab.
Wie bei allen Fällen Ransomware, Sicherheitsexperten’ Beratung ist die Sicherung aller wichtigen Daten, nicht verdächtig Öffnung, unerwartete E-Mails, und nicht mit Software von Drittanbietern. Oder im Fall von Wordpress – Plugins.
Wenn Sie durch diese besondere Variante des CTB-Locker angegriffen worden, oder eine andere derzeit aktive Erpresser, können Sie die Schritte unter dem Artikel folgen.
Starten Sie Ihren PC im abgesicherten Modus
1. Für Windows 7, XP und Vista.
2. Für Windows- 8, 8.1 und 10.Für Windows XP, Aussicht, 7 Systeme:
1. Entfernen Sie alle CDs und DVDs, Starten Sie danach den PC wieder “Start” Menü.
2. Wählen Sie eine der beiden folgenden Optionen zur Verfügung gestellt:
– Bei PCs mit einem einzigen Betriebssystem: Presse “F8” immer wieder nach dem ersten Boot-Bildschirm erscheint beim Neustart des Computers. Bei der Windows-Logo- Auf dem Bildschirm erscheint, Sie müssen die gleiche Aufgabe wiederholen.
– Für PCs mit mehreren Betriebssystemen: Der Erbauer der Pfeiltasten wird Ihnen helfen, das Betriebssystem zu starten Sie es vorziehen, in wählen Safe Mode. Presse “F8” ebenso wie für ein einzelnes Betriebssystem beschrieben.
3. Da die “Erweiterte Startoptionen” Bildschirm erscheint, Wählen Sie das Safe Mode Option, die Sie mit den Pfeiltasten werden sollen. Wie Sie Ihre Auswahl getroffen, Presse “Eingeben“.
4. Melden Sie sich bei Ihrem Computer mit Ihrem Administratorkonto
Während sich der Computer im abgesicherten Modus, die Wörter “Safe Mode” wird in allen vier Ecken des Bildschirms angezeigt.
Schritt 1: Öffne das Startmenü
Schritt 2: Indem die Umschalttaste gedrückt halten Taste, klicke auf Power und klicken Sie dann auf Neustart.
Schritt 3: Nach dem Neustart, die aftermentioned Menü erscheint. Von dort sollten Sie wählen Problembehandlung.
Schritt 4: Sie werden das sehen, Problembehandlung Menü. Aus diesem Menü können Sie wählen, Erweiterte Optionen.
Schritt 5: Nach dem Erweiterte Optionen Menü erscheint, klicke auf Starteinstellungen.
Schritt 6: Klicke auf Neustart.
Schritt 7: Ein Menü wird bei einem Neustart erscheinen. Sie wählen sollten Safe Mode durch Drücken der entsprechenden Nummer und das Gerät wird neu gestartet.
Entfernen CTB-Locker mit SpyHunter Anti-Malware-Tool
1. Installieren Sie SpyHunter zu scannen und entfernen CTB-Locker.2. Scan mit SpyHunter zu Erkennen und Entfernen von CTB-Locker.
Es wird dringend empfohlen, einen Scan vor dem Kauf der Vollversion der Software, um sicherzustellen, dass die aktuelle Version der Malware kann durch SpyHunter erkannt werden ausgeführt.
Schritt 2: Führen Sie sich selbst von den Download-Anweisungen für jeden Browser bereitgestellt.
Schritt 3: Nachdem Sie SpyHunter installiert haben, warten Sie, bis automatisch zu aktualisieren.
Schritt 1: Nach der Update-Vorgang abgeschlossen ist, Klicken Sie auf 'Scan Computer jetzt’ Taste.
Schritt 2: Nach SpyHunter hat Ihren PC für alle CTB-Locker-Dateien abgeschlossen Scannen, Klicken Sie auf "Fix Bedrohungen’ Taste, um sie automatisch und dauerhaft entfernen.
Schritt 3: Sobald die Einbrüche auf Ihrem PC entfernt worden, ist es sehr zu empfehlen starten Sie es neu.
Sichern Sie Ihre Daten, um sie vor Angriffen in der Zukunft zu sichern
WICHTIG! Vor dem Lesen Sie die Windows-Backup-Anweisungen, wir empfehlen dringend Ihre Daten automatisch mit Cloud-Backup sichern und versichern sie gegen jede Art von Datenverlust auf Ihrem Gerät, selbst die schwersten. Wir empfehlen, mehr über das Lesen und Herunterladen SOS Online Backup .
So sichern Sie Ihre Dateien über den Windows und verhindern, dass künftige Einbrüche, gehen Sie folgendermaßen vor:
1. Für Windows- 7 und früher 1. Für Windows- 8, 8.1 und 10 1. Aktivieren Sie die Windows-Defense Eigenschaft (Vorherige Versionen)1-Klicke auf Windows-Startmenü
2-Art Sichern und Wiederherstellen
3-Öffnen Sie es und klicken Sie auf Einrichten von Backup-
4-Es erscheint ein Fenster gefragt, wo die Einrichtung Backup. Sie sollten ein Flash-Laufwerk oder eine externe Festplatte haben,. Markieren Sie es, indem Sie auf sie mit der Maus klicken Sie dann auf Nächster.
5-Im nächsten Fenster, das System wird Sie fragen, was Sie sichern möchten. Wählen Sie das "Lassen Sie mich wählen" Option und klicken Sie auf Weiter.
6-Klicke auf 'Einstellungen speichern und ausführen Backup' auf dem nächsten Fenster, um Ihre Dateien vor möglichen Angriffen zu schützen, indem CTB-Locker.
2-In der Fenstertyp 'Filehistory " und drücken Eingeben
3-Ein Datei-History-Fenster erscheint. Klicke auf 'Configure Dateiversionen Einstellungen "
4-Das Konfigurationsmenü für Datei-History wird angezeigt. Klicken Sie auf "Turn On '. Nach der am, klicken Sie auf Select Drive, um die Backup-Laufwerk wählen. Es wird empfohlen, eine externe Festplatte wählen,, SSD oder ein USB-Stick, dessen Speicherkapazität für die Größe der Dateien entspricht, die Sie sichern möchten.
5-Wählen Sie das Laufwerk klicken Sie dann auf "OK", um einzurichten Datensicherung und schützen Sie sich vor CTB-Locker.
1- Presse Windows-Taste + R Schlüssel.
2- Ein Lauf Fenster sollte erscheinen. Darin Typ "Sysdm.cpl’ und klicken Sie dann auf Lauf.
3- Ein Systemeigenschaften-Fenster erscheinen soll. Darin wählen Systemschutz.
5- Klicke auf Schalten Sie Systemschutz und wählen Sie die Größe auf der Festplatte die Sie zum Schutz des Systems nutzen wollen.
6- Klicke auf Ok und Sie sollten eine Anzeige in zu sehen Schutzeinstellungen dass der Schutz von CTB-Locker ist auf.
Die Wiederherstellung einer Datei über Windows-Defense-Funktion:
1-Rechtsklick auf der verschlüsselten Datei, wählen Sie Eigenschaften.
2-Klicken Sie auf die Vorherige Versionen Registerkarte und markieren Sie die letzte Version der Datei.
3-Klicke auf Bewerben und Ok und die Datei von verschlüsselten CTB-Locker wiederhergestellt werden soll.
Entfernen CTB-Locker Verwendung anderer Alternative Werkzeuge
STOPzilla Anti MalwareSchritt 1: Laden Sie STOPzilla durch Klicken Sie hier.
Schritt 2: Ein Pop-up Fenster öffnet sich. Klicken Sie auf die 'Datei speichern’ Taste. Falls nicht, klicken Sie auf die Schaltfläche Download, und speichern Sie sie anschließend.
Schritt 3: Nachdem Sie das Setup heruntergeladen haben, einfach öffne es.
Schritt 4: Das Installationsprogramm sollte angezeigt werden. Klicken Sie auf die 'Nächster’ Taste.
Schritt 5: Überprüfen Sie die 'Ich akzeptiere die Vereinbarung' Check Kreis, wenn nicht überprüft, wenn Sie akzeptieren, und klicken Sie auf die 'Nächster' Taste erneut.
Schritt 6: Überprüfen und klicken Sie auf die 'Installieren’ Taste.
Schritt 7: Nachdem der Installationsvorgang abgeschlossen ist, klicken Sie auf die 'Fertig’ Taste.
2. Scannen Sie Ihren PC mit STOPzilla Anti Malware alle CTB-Locker zugehörigen Dateien vollständig zu entfernen.
Schritt 1: Starten STOPzilla wenn Sie es nicht nach dem Start haben installieren.
Schritt 2: Warten Sie, bis die Software automatisch zu scannen und dann klicken Sie auf die 'Jetzt reparieren’ Taste. Wenn es nicht automatisch scannen, Klicken Sie auf 'Scanne jetzt’ Taste.
Schritt 3: Nach dem Entfernen aller Bedrohungen und zugeordneten Objekte, Du solltest Starten Sie Ihren PC.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: