ransomware, assim como qualquer outra ameaça cibernética, está em constante evolução e adicionando novas funcionalidades ao seu conjunto de capacidades. programas de afiliados ransomware também são um grande fator, já que qualquer aspirante a criminoso cibernético com habilidades básicas agora pode entrar e fazer alguns (resgate) dinheiro.
| Nome | CTB-Locker |
| Tipo | ransomware |
| Pequena descrição | A variante mais recente do CTB-Locker tem como alvo servidores da web. |
| Os sintomas | Parte do ataque é a desfiguração do site. A interface do site é substituída pelo que parece ser uma mensagem de resgate com instruções. |
| distribuição Método | Bastante provável – explorando vulnerabilidades do WordPress; plug-ins WordPress de terceiros; -mails de spam. |
| Ferramenta de detecção | Baixar Malware Removal Tool, verificar se o seu sistema foi afetado por malware |
| Experiência de usuário | Participe do nosso fórum discutir CTB-Locker. |
| Ferramenta de recuperação de dados | Windows Data Recovery por Stellar Phoenix Aviso prévio! Este produto verifica seus setores de unidade para recuperar arquivos perdidos e não pode recuperar 100% dos arquivos criptografados, mas apenas alguns deles, dependendo da situação e se você tem ou não reformatado a unidade. |
As vezes, é bastante óbvio para os pesquisadores cibernéticos que o ransomware específico foi feito por "iniciantes" ou "amadores". E Nesses casos geralmente acabam com software de descriptografia lançado e disponível para as vítimas restaurarem seus arquivos. Contudo, em outras instâncias, o ransomware dura.
CTB-Locker, ou cebola, é um exemplo perfeito de programadores maliciosos que nunca desistem e procuram novas formas de reinventar o seu ransomware. Considerando suas altas taxas de infecção e destrutividade geral, CTB-Locker foi até nomeado um dos principais famílias de ransomware de 2015. No 2016, CTB-Locker continua a ser um jogador, com uma nova variante recém-lançada na natureza.
O que há de novo na nova variante do CTB-Locker?
Essencialmente, a última variante do infame ransomware visa exclusivamente servidores da web. De acordo com pesquisadores da Kaspersky Lab, mais que 70 servidores (possivelmente ainda mais) no 10 países já foram atacados com sucesso. Felizmente, Os pesquisadores da Kaspersky foram capazes de conduzir uma análise técnica detalhada conforme várias vítimas os contataram e enviaram os "criptografadores’ que comprometeu seus servidores web.
CTB-Locker Server Edition: Currículo Técnico
O resgate exigido pela nova variante é de aproximadamente $150, ou menos de meio bitcoin. Contudo, se o pagamento do resgate não for transferido a tempo, a soma é dobrada para $300. Assim que o pagamento for finalizado, a chave de descriptografia é gerada e pode ser usada para restaurar os arquivos do servidor.
Os pesquisadores foram capazes de descobrir que o processo de infecção ocorreu devido a falhas de segurança nos servidores da web das vítimas. Assim que as vulnerabilidades em questão forem exploradas, o site está desfigurado.
O que é desfiguração de site?
Em breve, desfiguração de site é um tipo de ataque que altera a interface do site. Os invasores geralmente invadem um servidor da web e substituem o site hospedado por seu próprio site (via Wikipedia). Os pesquisadores concluíram que a maioria dos ataques recentes de desfiguração não são aleatórios, mas podem ter motivos políticos ou culturais.
Quanto à mensagem de resgate deixada pela variante de servidor do CTB-Locker a.k.a. a versão do site do CTB-Locker, é um detalhado que fornece alguns fatos interessantes:
tão visível, a desfiguração do site é a própria nota de resgate. O código original não é excluído e é armazenado em um estado criptografado na raiz da web. Seu nome também foi alterado.
A falha de segurança exata que inicia o ataque aos servidores da web das vítimas ainda não foi descoberta. Contudo, muitos dos ataques aos servidores têm algo em comum – WordPress.
Não é segredo para ninguém que Sites WordPress que executam versões desatualizadas da plataforma estão cheios de vulnerabilidades. além do que, além do mais, WordPress tem outro ponto fraco - plug-ins. Usando terceiros, plug-ins suspeitos colocam os servidores da web em risco de vários ataques e intrusões.
Mais sobre o assunto: TeslaCrypt se espalhando por meio de sites comprometidos do WordPress
Assim que a vulnerabilidade for localizada e explorada, e o operador de ransomware está dentro do WordPress, o arquivo principal do site é substituído e o processo de criptografia é iniciado. Então, o arquivo principal foi renomeado, criptografado e salvo. Os pesquisadores conseguiram identificar que duas chaves AES-256 diferentes são usadas nos ataques.
1. create_aes_cipher($teste-chave) - criptografa os dois arquivos que podem ser descriptografados gratuitamente.
2. create_aes_cipher($keypass) - criptografa o resto dos arquivos hospedados na raiz da web do servidor.
Outra característica peculiar presente na edição do servidor do CTB-Locker é que os operadores de ransomware irão descriptografar dois arquivos gratuitamente. Contudo, a vítima não tem a opção de escolher os arquivos para descriptografar. Uma sala de chat para comunicação com os operadores maliciosos também está disponível.
Manual de remoção de ransomware e dicas de backup de dados
Para mais detalhes técnicos sobre o ataque, Visita Kaspersky Lab.
Tal como acontece com todos os casos de ransomware, especialistas em segurança’ conselho é fazer backup de todos os dados importantes, não abrindo suspeito, emails inesperados, e não usar software de terceiros. Ou no caso do WordPress – plugins.
Se você foi atacado por esta variante particular do CTB-Locker, ou outro ransomware atualmente ativo, você pode seguir as etapas abaixo do artigo.
Inicializar o PC em modo de segurança
1. Para o Windows 7, XP e Vista.
2. Para Windows 8, 8.1 e 10.Para o Windows XP, Vista, 7 sistemas:
1. Remova todos os CDs e DVDs, e reinicie o PC do “Começar” cardápio.
2. Selecione uma das duas opções que se seguem:
– Para PCs com um único sistema operacional: pressione “F8” repetidamente após a primeira tela de inicialização aparece durante o reinício do seu computador. No caso do logotipo do Windows aparece na tela, você tem que repetir a mesma tarefa novamente.
– Para PCs com múltiplos sistemas operacionais: ? He as setas irá ajudá-lo a selecionar o sistema operacional que você prefere para começar em Modo de segurança. pressione “F8” tal como descrito para um único sistema operacional.
3. Enquanto o “Opções avançadas de inicialização” aparece o ecrã, selecione os Modo de segurança opção desejada usando as teclas de seta. Como você fazer a sua selecção, pressione “Entrar“.
4. Fazer logon no seu computador usando sua conta de administrador
Enquanto o computador está no modo de segurança, as palavras “Modo de segurança” aparecerá em todos os quatro cantos da tela.
Degrau 1: Abra o Menu Iniciar
Degrau 2: Enquanto segurando a tecla Shift botão, Clique em Poder e clique em Reiniciar.
Degrau 3: após a reinicialização, o menu aftermentioned aparecerá. A partir daí você deve escolher Solução de problemas.
Degrau 4: Você vai ver o Solução de problemas cardápio. A partir deste menu você pode escolher Opções avançadas.
Degrau 5: Depois de Opções avançadas aparece o menu, Clique em Definições de arranque.
Degrau 6: Clique em Reiniciar.
Degrau 7: Um menu aparecerá após a reinicialização. Você deve escolher Modo de segurança premindo o número correspondente e a máquina irá reiniciar.
Remova o CTB-Locker com a ferramenta anti-malware SpyHunter
1. Instale o SpyHunter para procurar e remover o CTB-Locker.2. Faça uma varredura com o SpyHunter para detectar e remover o CTB-Locker.
É altamente recomendável para executar uma varredura antes de comprar a versão completa do software para se certificar de que a versão atual do malware podem ser detectadas por SpyHunter.
Degrau 2: Guiar-se pelas instruções de download fornecidas para cada navegador.
Degrau 3: Depois de ter instalado SpyHunter, esperar por ele para automaticamente atualização.
Passo 1: Após o processo de atualização tenha terminado, Clique no ‘Computer Scan Now’ botão.
Passo 2: Depois que o SpyHunter terminar de escanear o seu PC para qualquer arquivo CTB-Locker, Clique no 'Corrigir ameaças’ botão para removê-los automaticamente e permanentemente.
Etapa 3: Uma vez que as intrusões no seu PC foram removidos, é altamente recomendável para reiniciá-lo.
Faça backup de seus dados para protegê-lo contra ataques no futuro
IMPORTANTE! Antes de ler as instruções de backup do Windows, é altamente recomendável fazer backup de seus dados automaticamente com o backup em nuvem e segurá-lo contra qualquer tipo de perda de dados em seu dispositivo, mesmo o mais grave. Recomendamos a leitura mais sobre e download SOS Online Backup .
Para fazer backup de seus arquivos via Windows e evitar quaisquer futuras intrusões, siga estas instruções:
1. Para Windows 7 e anteriores 1. Para Windows 8, 8.1 e 10 1. Como ativar o recurso do Windows Defesa (Versões prévias)1-Clique em Menu Iniciar do Windows
2-Tipo Backup e restauração
3-Abra-o e clique em Configurar backup
4-Uma janela aparecerá perguntando-lhe onde configurar de backup. Você deve ter uma unidade flash ou um disco rígido externo. Marcá-lo clicando sobre ele com o mouse, em seguida, clique em Próximo.
5-Na próxima janela, o sistema irá pedir-lhe o que você deseja fazer o backup. Escolha o 'Deixe-me escolher' opção e, em seguida, clique em Avançar.
6-Clique em ‘Salvar configurações e executar backup’ Na janela seguinte, a fim de proteger seus arquivos de possíveis ataques por CTB-Locker.
2-No tipo de janela 'Filehistory' e pressione Entrar
3-A janela Histórico do arquivo aparecerá. Clique em ‘configurações de histórico arquivo configure’
4-O menu de configuração para Arquivo Histórico irá aparecer. Clique em ‘Ligar’. Após a sua em, clique em Select Drive, a fim de selecionar a unidade de backup. Recomenda-se escolher um disco rígido externo, SSD ou um stick USB cuja capacidade de memória é correspondente ao tamanho dos arquivos que você deseja fazer o backup.
5-Selecione a unidade, em seguida, clique em ‘OK’, a fim de configurar o backup de arquivos e proteger-se de CTB-Locker.
1- pressione botão do Windows + R chaves.
2- A Executar do Windows deve aparecer. Nele digite ‘sysdm.cpl’ e clique em Corre.
3- janelas de propriedades do sistema deve aparecer. Nele escolher Proteção do sistema.
5- Clique em Ativar a proteção de sistema e selecione o tamanho do disco rígido que você deseja utilizar para a proteção do sistema.
6- Clique em Está bem e você deve ver uma indicação em configurações de proteção que a proteção do CTB-Locker está ligada.
Restaurar um arquivo via recurso do Windows Defesa:
1-Botão direito do mouse no arquivo criptografado, em seguida, escolha Propriedades.
2-Clique no Versões prévias guia e, em seguida, marcar a última versão do arquivo.
3-Clique em Aplique e Está bem e o arquivo criptografado por CTB-Locker deve ser restaurado.
Remover CTB-Locker usando outras ferramentas alternativas
StopZilla Anti MalwareDegrau 1: Baixar StopZilla por clicando aqui.
Degrau 2: Uma janela pop-up irá aparecer. Clique no 'Salvar Arquivo’ botão. Se isso não acontecer, clique no botão Download e salve-o depois.
Degrau 3: Depois de ter baixado a configuração, simplesmente abra.
Degrau 4: O instalador deve aparecer. Clique no 'Próximo’ botão.
Degrau 5: Verifica a 'Eu aceito o acordo' verifique círculo se não for controlada, se você aceitá-lo e clique no 'Próximo' botão mais uma vez.
Degrau 6: Comente e clique no 'Instalar’ botão.
Degrau 7: Após o processo de instalação foi concluída, clique no 'Terminar’ botão.
2. Faça uma varredura no seu PC com o STOPZilla Anti Malware para remover todos os arquivos associados ao CTB-Locker completamente.
Degrau 1: lançamento StopZilla se você ainda não lançou-lo depois de instalar.
Degrau 2: Aguarde até que o software para verificar automaticamente e, em seguida, clique no ‘Reparar Agora’ botão. Se não verificar automaticamente, Clique no 'Escaneie agora’ botão.
Degrau 3: Após a remoção de todas as ameaças e objetos associados, você deve Reinicie o PC.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: