Ransomware, proprio come qualsiasi altra minaccia informatica, è in continua evoluzione e l'aggiunta di nuove funzionalità per il suo set di funzionalità. programmi di affiliazione ransomware sono anche un fattore importante, come ogni criminale wannabe informatico con competenze di base può ora unirsi e fare un po ' (riscatto) i soldi.
| Nome | CTB-Locker |
| Tipo | Ransomware |
| breve descrizione | variante più recente del CTB-Locker obiettivi server web. |
| Sintomi | Parte l'attacco è il sito web defacement. L'interfaccia del sito è sostituito da quello che sembra essere un messaggio di riscatto con le istruzioni. |
| Metodo di distribuzione | Verosimilmente – sfruttando le vulnerabilità di WordPress; WordPress plugin di terze parti; email di spam. |
| Detection Tool | Scarica Malware Removal Tool, vedere se il tuo sistema è stato interessato dal malware |
| Esperienza utente | Unisciti al forum discutere CTB-Locker. |
| Strumento di recupero dati | Windows Data Recovery da Stellar Phoenix Avviso! Questo prodotto esegue la scansione settori di unità per recuperare i file persi e non può recuperare 100% dei file crittografati, ma solo pochi di essi, a seconda della situazione e se non è stato riformattato l'unità. |
A volte, è abbastanza ovvio per i ricercatori informatici che la particolare ransomware è stato fatto da ‘principianti’ o ‘dilettanti’. E tali casi di solito finiscono con il software di decodifica rilasciato e disponibile per le vittime di ripristinare i file. Tuttavia, in altri casi, il ransomware dura.
CTB-Locker, o cipolla, è un perfetto esempio di programmatori maligni che non mollano mai e cercano nuovi modi per reinventare il loro ransomware. Considerando i suoi elevati tassi di infezione e distruttiva complessiva, CTB-Locker è stato anche nominato uno dei famiglie ransomware top di 2015. In 2016, CTB-Locker continua ad essere un giocatore, con una nuova variante appena rilasciato in natura.
Cosa c'è di nuovo in di CTB-Locker nuova variante?
Essenzialmente, l'ultima variante degli obiettivi ransomware infami esclusivamente server web. Secondo i ricercatori di Kaspersky Lab, più di 70 server (forse ancora più) in 10 paesi hanno già stati attaccati con successo. Per fortuna, i ricercatori di Kaspersky sono stati in grado di condurre una dettagliata analisi tecnica come diverse vittime li hanno contattato e li mandarono i ‘cryptor’ che ha compromesso i propri server web.
CTB-Locker Server Edition: Riprendi tecnico
Il riscatto richiesto dalla nuova variante è di circa $150, o meno della metà bitcoin. Tuttavia, se il pagamento taglia non viene trasferita in tempo, la somma è raddoppiata a $300. Una volta che il pagamento è finalizzato, la chiave di decrittazione viene generata e può essere utilizzata per ripristinare i file del server.
I ricercatori sono stati in grado di scoprire che il processo di infezione ha avuto luogo a causa delle falle di sicurezza nei server web delle vittime. Una volta che le vulnerabilità in questione sono sfruttati, il sito è deturpato.
Che cosa è il sito web defacement?
In breve, sito web defacement è un tipo di attacco che cambia l'interfaccia del sito web. Gli aggressori di solito si rompono in un server web e sostituiscono il sito web ospitato con un proprio sito web (via Wikipedia). I ricercatori hanno concluso che la maggior parte dei recenti attacchi defacement non sono casuali, ma possono avere motivazioni politiche o culturali.
Per quanto riguarda il messaggio di riscatto sceso dalla variante server CTB-Locker a.k.a. la versione web di CTB-Locker, si tratta di un dettaglio che fornisce alcuni fatti interessanti:
Come visibile, il sito web defacement è il riscatto nota stessa. Il codice originale non viene eliminato e viene memorizzato in uno stato crittografato sul web root. Il suo nome è cambiato pure.
Il buco di sicurezza esatto che inizia l'attacco sui server web delle vittime non è ancora scoperto. Tuttavia, molti degli attacchi sui server hanno una cosa in comune – WordPress.
Non è un segreto per nessuno che siti web WordPress che eseguono versioni non aggiornate della piattaforma sono pieni di vulnerabilità. In aggiunta, WordPress ha un altro punto debole - plugins. Utilizzando terze parti, plugins sospetti mettono i server web a rischio di vari attacchi e intrusioni.
Maggiori informazioni sull'argomento: TeslaCrypt diffusione tramite siti web compromessi WordPress
Una volta che la vulnerabilità si trova e sfruttati, e l'operatore ransomware è WordPress all'interno, il file sito principale viene sostituito e viene avviato il processo di crittografia. Poi, il file principale viene rinominato, criptati e salvati. I ricercatori sono stati in grado di identificare che due diverse chiavi AES-256 vengono utilizzati negli attacchi.
1. create_aes_cipher($keytest) - crittografa i due file che possono essere decifrati gratis.
2. create_aes_cipher($keypass) - cripta il resto dei file ospitati sul web root del server.
Un'altra caratteristica peculiare presenti nell'edizione del server di CTB-Locker è che gli operatori ransomware saranno decifrare i due file gratuitamente. Tuttavia, la vittima non ha la possibilità di scegliere i file per la decrittazione. Una chat room per la comunicazione con gli operatori maligni è disponibile anche.
Ransomware rimozione manuale e suggerimenti di backup dei dati
Per maggiori dettagli tecnici circa l'attacco, visita Kaspersky Lab.
Come in tutti i casi di ransomware, esperti di sicurezza’ consigli sta eseguendo il backup di tutti i dati importanti, Non apertura sospetto, messaggi di posta elettronica inaspettati, e che non utilizzano software di terze parti. O nel caso di WordPress – plugins.
Se siete stati attaccati da questa particolare variante del CTB-Locker, o altro ransomware attivo, è possibile seguire le istruzioni riportate di seguito l'articolo.
Avviare il PC in modalità provvisoria
1. Per Windows 7, XP e Vista.
2. Per Windows 8, 8.1 e 10.Per Windows XP, Vista, 7 sistemi:
1. Rimuovere tutti i CD e DVD, e quindi riavviare il PC dal “Inizio” menu.
2. Selezionare una delle due opzioni riportate di seguito:
– Per i PC con un unico sistema operativo: Stampa “F8” ripetutamente dopo la prima schermata di avvio si presenta durante il riavvio del computer. Nel caso la Logo di Windows appare sullo schermo, si deve ripetere la stessa operazione.
– Per i PC con sistemi operativi multipli: Тhe tasti freccia vi aiuterà a scegliere il sistema operativo si preferisce avviare in Modalità provvisoria. Stampa “F8” come descritto per un singolo sistema operativo.
3. Come “Opzioni di avvio avanzate” Viene visualizzata la schermata, selezionare Modalità provvisoria opzione desiderata con i tasti freccia. Come si effettua la selezione, stampa “Inserire“.
4. Accedere al computer utilizzando l'account di amministratore
Mentre il computer è in modalità provvisoria, le parole “Modalità provvisoria” appare in tutti e quattro gli angoli dello schermo.
Passo 1: Apri il Menu iniziale
Passo 2: Mentre tenendo premuto il tasto Maiusc pulsante, clicca su Energia e quindi fare clic su Ricomincia.
Passo 3: Dopo il riavvio, viene visualizzato il menu aftermentioned. Da lì si dovrebbe scegliere Risoluzione dei problemi.
Passo 4: Vedrete il Risoluzione dei problemi menu. Da questo menu è possibile scegliere Opzioni avanzate.
Passo 5: Dopo il Opzioni avanzate Appare il menu, clicca su Impostazioni di avvio.
Passo 6: Clicca su Ricomincia.
Passo 7: Apparirà un menu al riavvio. Si consiglia di scegliere Modalità provvisoria premendo il numero corrispondente e la macchina si riavvia.
Rimuovere CTB-Locker con lo strumento SpyHunter Anti-Malware
1. Installare SpyHunter per eseguire la scansione e rimuovere CTB-Locker.2. Scansione con SpyHunter per rilevare e rimuovere CTB-Locker.
Si consiglia vivamente di eseguire una scansione prima di acquistare la versione completa del software per assicurarsi che la versione corrente del malware può essere rilevato da SpyHunter.
Passo 2: Guida voi stessi le istruzioni di download fornite per ogni browser.
Passo 3: Dopo aver installato SpyHunter, attendere che si aggiornare automaticamente.
Passo 1: Dopo il processo di aggiornamento è terminato, clicca sul 'Scan sistema ora’ pulsante.
Passo 2: Dopo SpyHunter ha terminato la scansione del PC per qualsiasi file CTB-Locker, clicca sul 'Risolvere le minacce’ pulsante per rimuoverli automaticamente e in modo permanente.
Step3: Una volta che le intrusioni nel PC sono stati rimossi, è altamente consigliato per riavviarlo.
Backup dei dati per proteggere dagli attacchi in futuro
IMPORTANTE! Prima di leggere le istruzioni di backup di Windows, consigliamo vivamente di eseguire il backup dei dati automaticamente con cloud backup e assicurarlo contro qualsiasi tipo di perdita di dati sul dispositivo, anche la più grave. Si consiglia di leggere di più e il download SOS Online Backup .
Per eseguire il backup dei file tramite Windows e prevenire eventuali intrusioni future, seguire queste istruzioni:
1. Per Windows 7 e precedenti 1. Per Windows 8, 8.1 e 10 1. Attivazione della funzione di Windows Difesa (Versioni precedenti)1-Clicca su Menu Start di Windows
2-Tipo Backup e ripristino
3-Aprirlo e fare clic su Configurare il backup
4-Apparirà una finestra che chiede dove impostare il backup. Si dovrebbe avere un'unità flash o un hard disk esterno. Segnare facendo clic su di esso con il mouse clicca su Il Prossimo.
5-Nella finestra successiva, il sistema vi chiederà che cosa si desidera effettuare il backup. Scegli il 'Fammi scegliere' opzione e quindi fare clic su Avanti.
6-Clicca su 'Salvare le impostazioni ed eseguire backup' nella finestra successiva, al fine di proteggere i file da eventuali attacchi da parte CTB-Locker.
2-Nella tipo di finestra 'FILEHISTORY' e premere il tasto Inserire
3-Apparirà una finestra Cronologia File. Clicca su "Impostazioni cronologia file di Configure '
4-Viene visualizzato il menu di configurazione per la Storia File. Clicca su 'Attiva'. Dopo la sua su, cliccare su Select Drive per selezionare l'unità di backup. Si consiglia di scegliere un disco fisso esterno, SSD o una chiavetta USB la cui capacità di memoria è corrispondente alla dimensione dei file che si desidera effettuare il backup.
5-Selezionare l'unità poi cliccare su 'OK' per configurare backup di file e proteggersi da CTB-Locker.
1- Stampa Pulsante di Windows + R chiavi.
2- Dovrebbero apparire A Esegui di Windows. In Tipo di essa 'Sysdm.cpl’ e quindi fare clic su Correre.
3- Dovrebbero apparire Una finestra Proprietà di sistema. In esso scegli Sistema di protezione.
5- Clicca su Attivare la protezione del sistema e selezionare il formato sul disco rigido che si desidera utilizzare per la protezione del sistema.
6- Clicca su Ok e si dovrebbe vedere l'indicazione di Le impostazioni di protezione che la protezione da CTB-Locker è acceso.
Il ripristino di un file tramite funzionalità di Windows Difesa:
1-Pulsante destro del mouse il file crittografato, quindi scegliere Proprietà.
2-Clicca sul Versioni precedenti scheda e poi segnano l'ultima versione del file.
3-Clicca su Applicare e Ok e il file crittografato CTB-Locker dovrebbe essere ripristinata.
Rimuovere CTB-Locker Utilizzo di altri strumenti alternativi
STOPzilla Anti MalwarePasso 1: Scarica STOPzilla by cliccando qui.
Passo 2: Viene visualizzata una finestra pop-up. Clicca sul 'Salvare il file’ pulsante. In caso contrario, fare clic sul pulsante Download e salvarlo successivamente.
Passo 3: Dopo aver scaricato il programma di installazione, semplicemente aprilo.
Passo 4: Il programma di installazione dovrebbe apparire. Clicca sul 'Il prossimo’ pulsante.
Passo 5: Controlla il 'I accept the agreement' controllare cerchio se non controllato se si accetta e si fa clic 'Il prossimo' Pulsante una volta.
Passo 6: Rivedere e clicca sul 'Installare’ pulsante.
Passo 7: Dopo il processo di installazione, fare clic sul 'Finitura’ pulsante.
2. Effettua la scansione del PC con STOPzilla Anti Malware per rimuovere completamente tutti i file CTB-Locker associati.
Passo 1: Avviare stopzilla se non avete lanciato dopo l'installazione.
Passo 2: Attendere che il software per la scansione automatica e poi clicca sul 'Riparare Ora’ pulsante. Se non esegue la scansione automatica, clicca sul 'Scannerizza adesso’ pulsante.
Passo 3: Dopo la rimozione di tutte le minacce e gli oggetti associati, dovresti Riavviare il PC.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: