CBT Locker ransomware eller hvordan man dekrypterer krypterede filer

 

CTB Locker

CTB Locker ransomware (som undertiden også går under navnet Critoni) blev første gang bemærket i juli 2014. Denne virus sigter efter at kryptere diverse filer, og beder om løsepenge, for at dekryptere dem. Næsten alle versioner af Windows, herunder Windows XP, Windows Vista, Windows 7 samt Windows 8 kan blive ramt af denne ransomware. En særlig egenskab ved dette malware program er, at det kommunikerer med Command and Control server over TOR. Interessant nok kan alle købe CTB Locker (CBT Locker) på internettet for omkring $3,000 amerikanske dollars. For den sum penge vil du få grundsættet samt en fuld vejledning fra udviklerne af CTB Locker til, hvordan du indstiller alt korrekt. Dette betyder, at denne virus kan have en masse versioner med forskelligt udseende.

Alle filer, der bliver krypteret af Critoni, bliver indstillet til CTBL format, og kan ikke blive åbnet. Når dette ransomware først er installeret, vil det scanne din computer, for at finde ud af, hvilke filer du har på den, og følgende kryptere størstedelen af dem (ikke nødvendigvis dem alle). Der vil derpå blive vist et stort vindue på din skærm (se herunder). Det vil meddele, at dine personlige filer er krypteret, og hvis du gerne vil have dem tilbage, er du nødt til at betale en løsesum på ca. $120 amerikanske dollars. Betalingerne foretages ved hjælp af Bitcoin betalingssystem.
CTB

http://www.2-viruses.com/wp-content/uploads/2014/07/CTB.png

Hvis din computer er inficeret med Critoni, skulle du være i stand til at se en mappe med et tilfældigt navn i %Temp% mappen i din computer. Dette malware vil starte, hver gang du logger ind i dit system. CTB Locker benytter elliptisk kurve kryptografi til at kryptere brugerens filer, og det er en ganske unik måde at udføre det på. Når CTB Locker er færdig med at scanne dit system samt kryptere filer, vil du få vist en meddelelse med instrukser til, hvordan du betaler løsesummen. Desuden vil din baggrund på skærmen blive ændret til %MyDocuments%AllFilesAreLocked .bmp filen, hvor du vil finde detaljerede oplysninger om, hvordan du betaler løsesummen. Andre filer, som ligeledes vil blive skabt og være tilgængelige for brugeren, er %MyDocuments%DecryptAllFiles <user_id>.txt og %MyDocuments%.html. Dér vil du kunne finde den nødvendige information, for at finde frem til malware programmets officielle hjemmeside og fuldføre betalingen. Da omgang med Command and Control server ekstraordinært kun bliver udført gennem Tor og ikke internettet, er det meget mere kompliceret for politimyndighederne at spore dette ransomware. Men det er imidlertid ikke umuligt. Du bør ligeledes vide, at hver eneste gang du genstarter dit system, vil CTB Locker kopiere sig selv med nye, tilfældige navne i %Temp%, så det er muligt at finde tonsvis af mærkelige filer dér.

Så når du opdager, at din computer er inficeret med Critoni ransomware, skal du først scanne dit system med et pålideligt anti-malware program, såsom Spyhunter eller malwarebytes. Jo før jo bedre. Det er vanskeligt at bemærke denne skadelige applikation i din computer, før fremkomsten af skærmen med meddelelsen om, at dine filer er blevet krypteret, så det vil være klogt at scanne din computer indimellem, for at forhindre, at det sker. Men hvis dine filer allerede er blevet krypteret, kan du stadig scanne din PC, og i det mindste fjerne infektionen, så der ikke bliver udviklet nye filer, hver gang du genstarter din Windows. Hvis du gerne vil gøre det manuelt, er du nødt til at fjerne alle eksekverbare fra %Temp% mappen, samt fjerne den skjulte jobliste i Windows Opgavestyring. Bemærk, at dette kun vil fjerne virussen, og at ingen af filerne, som allerede er blevet krypteret, vil blive dekrypteret. I øjeblikket findes der ingen kendt metode til at dekryptere filer, der er krypteret af CTB Locker. Der er udviklet en masse værktøjer til dekryptering af filer, der er krypteret af andet malware, men de er ikke i stand til at dekryptere filer, der er krypteret af CTB Locker (CBT Locker). Så der er kun to ting at gøre for at få dine krypterede filer tilbage – enten ved at betale løsepengene eller gendanne filerne fra en sikkerhedskopi. Åbn %MyDocuments%.html filen, for at finde ud af, hvilke filer, der blev krypteret, og som skal gendannes.

Meddelelsen fra CTB Locker ser således ud:

Dine personlige filer er krypteret. %f0%%c0%

Dine dokumenter, fotos, databaser samt andre vigtige filer er blevet krypteret med den stærkeste kryptering og unikke nøgle, udviklet for denne computer.

Privat dekrypteringsnøgle er gemt i en hemmelig Internet-server, og ingen kan dekryptere dine filer, før du betaler og får den private nøgle.

Hvis du bemærker Locker vinduet, skal du følge vejledningen på lockeren. Hvis du ikke kan se det, har du eller dit antivirus program nok slettet locker programmet. Så nu har du en sidste chance for at dekryptere dine filer.

  1. Skriv adressen %c1%http://torproject.org%c0% i din internetbrowser. Det åbner Tor websiden.
  2. Tryk på ”Download Tor”, og tryk derefter på ”DOWNLOAD Tor Browser Bundle”, installer det og kør det.
  3. Nu har du Tor Browser. I Tor browseren skal du åbne %c1%http://%onion%/%c0%.

Bemærk, at denne server kun er tilgængelig via Tor Browser.

Hvis siden ikke er tilgængelig, så prøv igen om en time.

  1. Skriv følgende offentlige nøgle i indlæsningsfeltet i serveren (undgå skrivefejl):

%f1%%c1%%key%%f0%%c0%

  1. Følg vejledningen i serveren.

Disse instrukser er også gemt i filen med navnet DecryptAllFiles.txt i Dokumenter mappen. Du kan åbne den og benytte kopier/sæt-ind til adressen og nøglen.

Således dekrypterer du krypterede filer

Som vi før har nævnt, er det ikke muligt at dekryptere filer, der er blevet krypteret af CTB Locker. Hvis du ikke vil betale løsepenge til de cyber kriminelle, kan du gendanne dine filer fra en sikkerhedskopi. Der findes flere måde at gøre det på.

Den bedste mulighed er helt enkelt at gendanne alle systemindstillinger og indstillinger fra en Windows sikkerhedskopi. Det er imidlertid kun muligt, hvis du først har oprettet en sikkerhedskopi. Hvis du ikke har gjort det først, vil du ikke være i stand til at foretage en systemgendannelse. Selvom du har en gyldig gendannelsesfil, er det nok ikke muligt at få mistede filer tilbage, hvis mappen, de er gemt i, ikke er omfattet af Windows sikkerhedskopi (du kan vælge det i indstillingerne).

native Windows Previous Versions

Den følgende metode kan ligeledes være ganske effektiv. CTB Locker krypterer ikke blot filen, den laver også en kopi af den, krypterer den og sletter derefter den originale fil. Af den grund kan du benytte særlig software til at gendanne mistede filer. For eksempel R-Studio eller Photorec kan udføre denne opgave. Hvis du spekulerer på, hvorfor det ikke kan anbefales at vente med at gøre noget, efter at CTB Locker (CBT Locker) er kommet ind i dit system, skyldes det, at jo længere du venter, jo sværere vil det være at indsætte gendannelsesprogrammer, for at få dine slettede og dekrypterede filer tilbage.

Shadow Volume Copies

I det tilfælde, at du ikke bruger indstillingen Systemgendannelse i dit operativsystem, er der mulighed for at benytte shadow copy snapshots. De gemmer kopier af dine filer på det tidspunkt, hvor systemgendannelses snapshot blev lavet. CTB Locker prøver som regel at slette alle mulige Shadow Volumen Copies, men nogle gange mislykkes det for den. Det er værd at nævne, at Shadow Volumen Copies kun er tilgængelige i Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Der findes to måder, hvorpå du kan få dine filer tilbage via Shadow Volumen Copy. Du kan gøre det ved hjælp af native Windows Previous Versions eller Shadow Explorer.
ShadowExplorer

Native Windows Previous Versions

Du skal blot højreklikke på en krypteret fil og vælge Egenskaber > Previous versions (Tidligere Versioner) fane. Nu vil du se alle tilgængelige kopier af den pågældende fil samt tidspunktet for, hvornår den blev gemt i en Shadow Volumen copy. Du skal blot vælge den filversion, du gerne vil have tilbage, og klikke ”Kopi”, hvis du ønsker at gemme den i din egen mappe, eller Gendan, hvis du ønsker at erstatte en eksisterende, krypteret fil. Hvis du gerne vil se indholdet af filen først, skal du blot klikke Åbn.

http://www.2-viruses.com/wp-content/uploads/2014/07/native-Windows-Previous-Versions.png
dropbox

Shadow Explorer

Det er et gratis program, der kan findes på internettet. Du kan downloade enten en hel eller en portable version af Shadow Explorer. Åbn programmet, øverst i venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er gemt. Du vil følgende få vist alle mapper i det drev. For at få hele mappen tilbage, skal du højreklikke på den og vælge indstillingen ”Eksport”, samt vælge, hvor du gerne vil gemme den. Det er det hele.

http://www.2-viruses.com/wp-content/uploads/2014/07/ShadowExplorer.png

Sådan gendannes de filer, der er blevet krypteret i DropBox

Hvis du normalt gemmer dine filer i en DropBox (det mest almindelige, webbaseret opbevaringsservice af filer), og de også er blevet krypteret, kan du bruge et par tips, som er angivet herunder.

For at få krypterede filer tilbage i en Dropbox, skal du blot logge ind på din konto på DropBox hjemmesiden. Derefter skal du finde hen til mappen, hvor filen, du gerne vil have tilbage, er gemt. Højreklik på filen og vælg en Previous versions (Tidligere Versioner) indstilling. Nu vil du se samtlige tilgængelige tidligere indstillinger for den pågældende fil (ligesom i Shadow Volumen Copies). Vælg den ønskede version og klik Gendan funktionen.

http://www.2-viruses.com/wp-content/uploads/2014/07/dropbox.png

 

 
 
 

Skriv et svar

Din e-mailadresse vil ikke blive offentliggjort. Krævede felter er markeret med *