Huis > Cyber ​​Nieuws > Nieuwe CTB-Locker-variant richt zich op kwetsbare webservers
CYBER NEWS

Nieuwe CTB-Locker Variant Doelen Kwetsbare webservers

Ransomware, net als elke andere cyber bedreiging, is voortdurend in ontwikkeling en het toevoegen van nieuwe features om de reeks mogelijkheden. Ransomware affiliate programma's zijn ook een grote factor, als alle wannabe cybercrimineel met basisvaardigheden kunt nu lid en maak wat (losgeld) geld.

Naam CTB-Locker
Type Ransomware
Korte Omschrijving CTB-Locker de meest recente variant is gericht op webservers.
Symptomen Een deel van de aanval is defacen. De interface van de website wordt vervangen door wat lijkt op een losgeld-mailbericht met instructies zijn.
Distributie Methode Zeer waarschijnlijk – exploiteren WordPress kwetsbaarheden; derden WordPress plugins; spam e-mails.
Detection Tool Download Malware Removal Tool, om te zien of uw systeem is aangetast door malware
Gebruikerservaring Word lid van ons forum te bespreken CTB-Locker.
Data Recovery Tool Windows Data Recovery door Stellar Phoenix kennisgeving! Dit product scant uw schijf sectoren om verloren bestanden te herstellen en het kan niet herstellen 100% van de gecodeerde bestanden, maar slechts weinigen van hen, afhankelijk van de situatie en of u uw schijf hebt geformatteerd.

Soms, het is heel duidelijk voor cyber onderzoekers dat de bijzondere ransomware werd gemaakt door ‘beginners’ of ‘amateurs’. En dergelijke gevallen meestal eindigen met decryptie software vrijgegeven en beschikbaar zijn voor slachtoffers om hun bestanden te herstellen. Echter, in andere gevallen, de ransomware verdraagt.

CTB-Locker, of Onion, is een perfect voorbeeld van kwaadaardige coders die nooit opgeven en zoeken naar nieuwe manieren om hun ransomware opnieuw uit te vinden. Gezien de hoge infectiedruk en de algehele vernielzucht, CTB-Locker werd zelfs uitgeroepen tot een van de top ransomware families van 2015. In 2016, CTB-Locker blijft een speler, met een nieuwe variant zojuist in het wild.

Wat is nieuw in CTB-Locker Nieuwe Variant?

In wezen, de nieuwste variant van de beruchte ransomware targets uitsluitend webservers. Volgens de onderzoekers van Kaspersky Lab, meer dan 70 servers (misschien zelfs meer) in 10 landen reeds met succes aangevallen. Gelukkig, Kaspersky onderzoekers waren in staat om een ​​gedetailleerde technische analyse uit te voeren als meerdere slachtoffers hen gecontacteerd en stuurde hen de ‘cryptors’ dat gecompromitteerd hun webservers.

CTB-Locker Server Edition: Technical Hervatten

Het losgeld geëist door de nieuwe variant is ongeveer $150, of minder dan de helft Bitcoin. Echter, Als het rantsoen betaling niet wordt overgedragen tijdig, bedrag wordt verdubbeld $300. Zodra de betaling is afgerond, de decryptie sleutel wordt gegenereerd en kan worden gebruikt om bestanden van de server herstellen.

De onderzoekers waren in staat om te ontdekken dat de infectie proces vond plaats vanwege de gaten in de beveiliging van de slachtoffers webservers. Zodra de kwetsbaarheden in kwestie worden uitgebuit, de website onleesbaar.

Wat is defacen?

Binnenkort, defacen is een type aanval dat de interface van de website verandert. Aanvallers breken meestal in een web server en vervang de gehoste website met een eigen website (via Wikipedia). Onderzoekers hebben geconcludeerd dat de meeste van de recente schending aanvallen zijn niet willekeurig, maar kan politieke of culturele motieven.

Wat betreft het losgeld bericht gedaald door de server variant van CTB-Locker a.k.a. de website versie van CTB-Locker, Het is een uitgebreidere versie die enkele interessante feiten biedt:

ransomware-message-CTB-Locker-stforum-Kaspersky-lab

Zoals zichtbaar, het defacen is het losgeld notitie zelf. De oorspronkelijke code wordt niet verwijderd en wordt gecodeerd opgeslagen toestand op het Webwortel. Zijn naam wordt ook veranderd.

De exacte gat in de beveiliging dat de aanval op de slachtoffers webservers start is nog niet ontdekt. Echter, veel van de aanvallen op de servers hebben één ding met elkaar gemeen – WordPress.

Het is geen geheim aan iedereen die WordPress websites die verouderde versies van het platform draaien zijn vol kwetsbaarheden. Bovendien, WordPress heeft een zwakke plek - plugins. Het gebruik van third-party, verdachte plugins zetten webservers op risico van de verschillende aanvallen en inbraken.

Meer over dit onderwerp: TeslaCrypt Het verspreiden via Gecompromitteerde WordPress Websites

Zodra de kwetsbaarheid zich bevindt en geëxploiteerd, en de ransomware bediener zich in WordPress, de belangrijkste website bestand wordt vervangen en de encryptie-proces wordt gestart. Dan, de belangrijkste bestand is hernoemd, versleuteld en opgeslagen. De onderzoekers waren in staat om vast te stellen dat er twee verschillende AES-256-toetsen worden gebruikt in de aanslagen.

1. create_aes_cipher($Keytest) - versleutelt de twee bestanden die gratis kan worden gedecodeerd.
2. create_aes_cipher($KeyPass) - versleutelt de rest van de bestanden op de server host web root.

Een ander bijzonder kenmerk aanwezig in de server editie van CTB-Locker is dat de ransomware operators twee bestanden decoderen voor gratis. Echter, het slachtoffer niet de optie om de bestanden voor decryptie te kiezen. Een chat room voor de communicatie met de kwaadaardige operators is ook beschikbaar.

Ransomware Removal gebruikershandleiding en de Data Backup Tips

Voor meer technische details over de aanval, bezoek Kaspersky Lab.

Zoals met alle ransomware gevallen, security experts’ advies is een back-up van alle belangrijke gegevens, niet open verdachte, onverwachte e-mails, en niet met behulp van software van derden. Of in het geval van WordPress – plugins.

Als je zijn aangevallen door deze bijzondere variant van CTB-Locker, of een ander moment actief ransomware, U kunt de onderstaande het artikel stappen.

1. Start uw PC in de veilige modus te isoleren en te verwijderen CTB-Locker

Start uw pc in veilige modus

1. Voor Windows 7, XP en Vista. 2. Voor Windows 8, 8.1 en 10.

Voor Windows XP, Uitzicht, 7 systemen:

1. Verwijder alle cd's en dvd's, en dan Herstart je pc uit het “Begin” menu.
2. Selecteer een van de twee opties hieronder:

Voor pc's met een enkel besturingssysteem: Pers “F8” herhaald na de eerste boot scherm verschijnt tijdens de herstart van uw computer. Indien het Windows-logo verschijnt op het scherm, je hebt om dezelfde taak te herhalen.

donload_now_140

Voor pc's met meerdere besturingssystemen: Ð ¢ he pijltjestoetsen zal u helpen het besturingssysteem dat u liever starten in selecteren Veilige modus. Pers “F8” enkel beschreven voor één besturingssysteem.

donload_now_140

3. Aangezien de “Geavanceerde opstartopties” scherm verschijnt, selecteer de Veilige modus gewenste optie met de pijltoetsen. Als u uw keuze maken, pers “Invoeren“.

4. Meld u aan op uw computer met behulp van uw beheerdersaccount

donload_now_140

Terwijl de computer in de veilige modus, de woorden “Veilige modus” zal verschijnen in alle vier de hoeken van je scherm.

Stap 1: Open de Start Menu

donload_now_140

Stap 2: Terwijl Shift ingedrukt te houden knop, Klik op Vermogen en klik vervolgens op Herstart.
Stap 3: Na een reboot, het aftermentioned menu verschijnt. Vanaf daar moet u kiezen Oplossen.

donload_now_140

Stap 4: U ziet de Oplossen menu. Vanuit dit menu kunt u kiezen Geavanceerde opties.

donload_now_140

Stap 5: Na het Geavanceerde opties menu verschijnt, Klik op Startup Settings.

donload_now_140

Stap 6: Klik op Herstart.
donload_now_140

Stap 7: Er verschijnt een menu op reboot. Je moet kiezen Veilige modus door te drukken op het bijbehorende nummer en de machine opnieuw op te starten.

2. Verwijder CTB-Locker met SpyHunter Anti-Malware Tool

Verwijder CTB-Locker met SpyHunter Anti-Malware Tool

1. Installeer SpyHunter om te scannen op en verwijderen van CTB-Locker.2. Scannen met SpyHunter te sporen en te verwijderen CTB-Locker.
Stap 1:Klik op de “Download” knop om verder te gaan om SpyHunter downloadpagina.

donload_now_140
Het wordt sterk aanbevolen om een ​​scan uit te voeren vóór de aankoop van de volledige versie van de software om ervoor te zorgen dat de huidige versie van de malware kan worden gedetecteerd door SpyHunter.

Stap 2: Begeleiden jezelf door de download-instructies voor elke browser.
Stap 3: Nadat u SpyHunter hebt geïnstalleerd, wachten tot het automatisch bijgewerkt.

pets-by-MyWay-advertenties-virus

Stap 1: Nadat de update is voltooid, Klik op de 'Scan Computer Now’ knop.
pets-by-MyWay-advertenties-virus
Stap 2: Na SpyHunter klaar is met het scannen van uw pc voor een CTB-Locker-bestanden, Klik op de 'Fix Bedreigingen’ knop om ze automatisch en permanent te verwijderen.
pets-by-MyWay-advertenties-virus
Step3: Zodra de inbraken op uw pc zijn verwijderd, Het wordt sterk aanbevolen om herstarten.

3. Een back-up van uw gegevens te beveiligen tegen infecties en bestand encryptie door CTB-Locker in de toekomst

Een back-up van uw gegevens te beveiligen tegen aanvallen in de toekomst

BELANGRIJK! Voordat u de Windows back-instructies, wij raden om automatisch een back-up van uw gegevens met cloud back-up en verzekeren tegen elke vorm van verlies van gegevens op uw apparaat, zelfs de meest ernstige. We raden u aan het lezen meer over en het downloaden SOS Online Backup .

Als u een back-up van uw bestanden via Windows en alle toekomstige inbraken te voorkomen, Volg deze instructies:

1. Voor Windows 7 en eerder 1. Voor Windows 8, 8.1 en 10 1. Het inschakelen van de Windows Defensie Feature (Vorige versies)

1-Klik op Windows Start Menu
backup-1
2-Type Backup en terugzetten
3-Open het en klik op Back-up instellen
w7-backup3
4-Er verschijnt een venster waarin u wordt gevraagd waar te zetten back-up. U dient een flash drive of een externe harde schijf hebt. Markeren door er op te klikken met de muis en klik dan op Volgende.
backup-3
5-In het volgende venster, het systeem zal u vragen wat u wilt back-up. Kies de 'Let Me Kies' optie en klik vervolgens op Next.
backup-4
6-Klik op 'Instellingen opslaan en back-up run' Op het volgende venster om uw bestanden van mogelijke aanvallen beschermen door CTB-Locker.
backup-5

1-Pers Windows-toets + R
filehistory 1
2-In het type venster 'Filehistory' en druk op Invoeren
filehistory 2
3-Een File History venster verschijnt. Klik op 'Configure bestand geschiedenis settings'
filehistory 3
4-Het configuratiemenu voor File History zal verschijnen. Klik op 'Turn On'. Na de op, klik op Select Drive om de back-up drive select. Het wordt aanbevolen om een ​​externe harde schijf kiezen, SSD of een USB-stick, waarvan geheugencapaciteit is dat overeenkomt met de grootte van de bestanden die u wilt back-up.
filehistory 4
5-Selecteer het station en klik vervolgens op 'OK' om te zetten bestand back-up en jezelf te beschermen tegen CTB-Locker.

1- Pers Windows-toets + R sleutels.
sysdm
2- Een run vensters moeten verschijnen. In deze soort 'Sysdm.cpl’ en klik vervolgens op Rennen.
windows-Defense2
3- Een System Properties vensters moeten verschijnen. In het te kiezen System Protection.
windows-defense3
5- Klik op Schakelen beveiligingssysteem en selecteert u het formaat op de harde schijf die u wilt gebruiken voor de bescherming van het systeem.
6- Klik op OK en je moet een indicatie in te zien Bescherming instellingen dat de bescherming tegen CTB-Locker is.
windows-defense1
Het herstellen van een bestand via functie Windows Defensie:
1-Klik met de rechtermuisknop het versleutelde bestand, kies Eigenschappen.
file-restore1
2-Klik op de Vorige versies tab en markeer de laatste versie van het bestand.
file-restore2
3-Klik op Solliciteren en OK en het bestand versleuteld CTB-Locker moeten worden hersteld.

4. bestanden versleuteld door CTB-Locker herstellen

Bestanden terugzetten Gecodeerde door CTB-Locker

sinds PadCrypt 2.0 verwijdert schaduwkopieën in Windows, security ingenieurs adviseren gebruikers NIET om het losgeld geld te betalen en te proberen het herstel van de bestanden met behulp van andere methoden. Hier zijn een aantal suggesties:

Kaspersky hebben voorzien van een decryptors naar bestanden gecodeerd met de deze en andere encryptie-algoritmen:

Kaspersky Decryptors

Een fatsoenlijke methode voor het herstellen van uw bestanden door te proberen om uw bestanden via data recovery software terug te brengen. Hier zijn enkele voorbeelden van data recovery-programma's:

Er is ook de technische mogelijkheid om een ​​netwerk sniffer gebruiken:

Een andere manier om de bestanden te decoderen is met behulp van een Netwerk Sniffer om de encryptie sleutel te krijgen, terwijl de bestanden worden versleuteld op uw systeem. Een Network Sniffer is een programma en / of controle-apparaat gegevens reist via een netwerk, zoals het internet verkeer en internet pakketten. Als u een sniffer set voor de aanval gebeurde u misschien informatie over de decryptie sleutel te krijgen.

Facultatief: Het gebruik van alternatieve Anti-Malware Gereedschap

Verwijder CTB-Locker gebruiken Andere Alternatieve Gereedschap

STOPzilla Anti-Malware
1. Download en installeer STOPzilla Anti-malware te scannen en verwijder CTB-Locker.
Stap 1: Download STOPzilla door hier te klikken.
Stap 2: Een pop-up venster zal verschijnen. Klik op de 'Sla bestand op’ knop. Als het niet, klik op de knop Downloaden en sla het daarna.
pets-by-MyWay-advertenties-virus
Stap 3: Nadat u de installatie hebt gedownload, eenvoudig open het.
Stap 4: De installateur moet verschijnen. Klik op de 'Next’ knop.
pets-by-MyWay-advertenties-virus
Stap 5: Controleer de 'Ik accepteer de overeenkomst' controleren cirkel als niet gecontroleerd als je het te accepteren en klik op de 'Next' toets nogmaals.
pets-by-MyWay-advertenties-virus
Stap 6: Herzien en klik op de 'Installeren’ knop.
pets-by-MyWay-advertenties-virus
Stap 7: Nadat de installatie is voltooid, klik op de 'Afwerking’ knop.

2. Scan uw PC met STOPzilla Anti Malware om alle CTB-Locker geassocieerde bestanden volledig te verwijderen.
Stap 1: Lanceren STOPzilla als je het niet hebben gelanceerd na de installatie.
Stap 2: Wacht tot de software om automatisch te scannen en klik vervolgens op de 'Repair Now’ knop. Als het niet automatisch te scannen, Klik op de 'Nu scannen’ knop.
pets-by-MyWay-advertenties-virus
Stap 3: Na het verwijderen van alle bedreigingen en bijbehorende objecten, Je zou Start uw PC.

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens