CTB-Locker: Поредният вирус, искащ откуп
В основата му стои заключването на файлове на компютъра и изискването на откуп за тяхното възстановяване
~ 3 мин.
Все по-често в най-различни региони по света се разпространяват модерни и изключително прецизни зловредни кодове. В основата им стои заключването на файлове на компютъра и изискването на откуп за тяхното възстановяване.
Вирусът се активира от фалшив имейл, претендиращ, че съдържа факс съобщение. То обаче не е нищо по-различно от кампания за разпространение на зловредния код, чиято крайна цел е да криптира файлове и да изисква откуп. Най-често той се изисква в биткойни (крипто-валута, използвана в интернет), пише ESET.
Вирусът CTB-Locker Ransomware вече е причинил главоболие на хиляди потребители. Според данните, най-силно засегнати от заразата са Полша, Чехия и Мексико, но в много други страни тя продължава да се развива. Въпреки, че отсъства от графиката по-долу, България също е една от страните, където има заразени с вируса потребители..
Атаката започва с фалшив имейл в електронната пощенска кутия на потребителя. В него се твърди, че съдържа факс съобщение в прикачен файл. И тук идва най-важният момент – ако отворите този файл, вашата антивирусна програма спира да ви защитава и модификация на Win32/FileCoder.DA ще бъде свалена на компютъра ви. Това, което следва, е повече от ясно: криптиране на вашите файлове, които (за съжаление) ще изгубите завинаги. Освен ако не платите и се надявате на съвестта на престъпниците. Тук ние съветваме – не плащайте каквото и да било. Ние не преговаряме с хакери.
Този тип ransomware действа аналогично на други познати зловредни кодове като VirLock, CryptoLocker, TorrentLocker, FileCoder. Разликата идва от различните криптиращи алгоритми, от които идват и различните наименования. Файловете, които този тип зловредни кодове заключват съвсем не са случайни – това са специални разширения като mp4, .pem, .jpg, .doc, .cer, .db, или с други думи –всички онези файлове, които могат да бъдат значими за потребителя. След като криптирането приключи, вируса показва съобщение, в което иска откуп. То има различни форми – като wallpaper на екрана, Windows прозорец или нещо друго. В последния вариант съобщението излиза на немски, холандски, италиански и английски.
Находчивостта на хакерите стига още по-далеч. За да убедят потребителите, че могат да възстановят техните файлове ако платят, кибер-престъпниците предлагат демонстрация как работи „безплатно“.
След като потребителите видят демонстрацията, хакерите им показват къде трябва да бъдат изпратени биткойните (BTC). Те дори предлагат и обмяна на биткойни в случай, че потребителят не разполага с такива.
Друг интересен детайл от CTB-Locker е този, че не само показва съобщението на различни езици, но показва и подходяща валута за съответния език. Така например, ако е избран английски, сумата е в долари. Откупът е 8 биткойна, които към 20.01.2015 се равняват на 1680 долара.
За съжаление е факт, че криптиращите технички използвани от CTB-Locker правят невъзможно възстановяването на файловете. Въпреки това, има някои неща, които потребителите и компаниите могат да направят:
Вирусът се активира от фалшив имейл, претендиращ, че съдържа факс съобщение. То обаче не е нищо по-различно от кампания за разпространение на зловредния код, чиято крайна цел е да криптира файлове и да изисква откуп. Най-често той се изисква в биткойни (крипто-валута, използвана в интернет), пише ESET.
Вирусът CTB-Locker Ransomware вече е причинил главоболие на хиляди потребители. Според данните, най-силно засегнати от заразата са Полша, Чехия и Мексико, но в много други страни тя продължава да се развива. Въпреки, че отсъства от графиката по-долу, България също е една от страните, където има заразени с вируса потребители..
Атаката започва с фалшив имейл в електронната пощенска кутия на потребителя. В него се твърди, че съдържа факс съобщение в прикачен файл. И тук идва най-важният момент – ако отворите този файл, вашата антивирусна програма спира да ви защитава и модификация на Win32/FileCoder.DA ще бъде свалена на компютъра ви. Това, което следва, е повече от ясно: криптиране на вашите файлове, които (за съжаление) ще изгубите завинаги. Освен ако не платите и се надявате на съвестта на престъпниците. Тук ние съветваме – не плащайте каквото и да било. Ние не преговаряме с хакери.
Този тип ransomware действа аналогично на други познати зловредни кодове като VirLock, CryptoLocker, TorrentLocker, FileCoder. Разликата идва от различните криптиращи алгоритми, от които идват и различните наименования. Файловете, които този тип зловредни кодове заключват съвсем не са случайни – това са специални разширения като mp4, .pem, .jpg, .doc, .cer, .db, или с други думи –всички онези файлове, които могат да бъдат значими за потребителя. След като криптирането приключи, вируса показва съобщение, в което иска откуп. То има различни форми – като wallpaper на екрана, Windows прозорец или нещо друго. В последния вариант съобщението излиза на немски, холандски, италиански и английски.
Находчивостта на хакерите стига още по-далеч. За да убедят потребителите, че могат да възстановят техните файлове ако платят, кибер-престъпниците предлагат демонстрация как работи „безплатно“.
След като потребителите видят демонстрацията, хакерите им показват къде трябва да бъдат изпратени биткойните (BTC). Те дори предлагат и обмяна на биткойни в случай, че потребителят не разполага с такива.
Друг интересен детайл от CTB-Locker е този, че не само показва съобщението на различни езици, но показва и подходяща валута за съответния език. Така например, ако е избран английски, сумата е в долари. Откупът е 8 биткойна, които към 20.01.2015 се равняват на 1680 долара.
За съжаление е факт, че криптиращите технички използвани от CTB-Locker правят невъзможно възстановяването на файловете. Въпреки това, има някои неща, които потребителите и компаниите могат да направят:
- Ако разполагате с решение за сигурност на мейл сървъри, включете филтрирането по файлове разширения. Това ще ви позволи да блокирате зловредни файлове с разширения като .scr, като това използвано от Win32/TrojanDownloader.Elenoocka.A;
- Избягвайте да отваряте прикачени файлове от имейли със съмнителни източници. Уверете се, че всички в компанията са уведомени за това;
- Поддържайте решенията си за сигурност актуализирани, за да могат ефективно да се справят с последните заплахи;
- Осъществявайте периодичен бек-ъп на информацията си.