Suport IT: CTB-Locker: Un cod malitios de tipul ransomware, care se raspandeste rapid in multe tari

Share This

Conform ultimelor observatii, atacurile de tip ransomware apar din ce in ce mai frecvent: reamintim aici atacul TorrentLocker directionat asupra teritoriului Marii Britanii, ce a inclus o componenta phishing ce impersona serviciul national de posta Royal Mail, precum numeroasele amenintari care apar tot mai des in diferite regiuni din Europa.
In ultimele zile am intrat in posesia a numeroase rapoarte care atesta raspandirea din ce in ce mai accelerata a acestui tip de malware in diferite tari, mai ales din Europa de Est si America Latina. De cele mai multe ori atacul debuteaza cu un e-mail fals, care pretinde de pilda includerea unui atasament de fax sau a unui alt tip de informatie atasata, pe care utilizatorul este pacalit sa o deschida. Atacul urmareste raspandirea de cod malitios, cu scopul final de a cripta fisiere victimelor care sunt ulterior santajate cu o rascumparare in Bitcoin pentru recuperarea informatiilor criptate.

In acest articol vom ilustra cum aceste campanii raspandesc o noua varianta a CTB-Locker Ransomware, ce provoaca pierderi majore de date pentru mii de utilizatori. Polonia, Cehia si Mexic sunt printre cele mai afectate tari, asa cum se poate vedea in urmatorul grafic:

Atacul este initiat de un e-mail fals, trimis in cadrul unor ample campanii de spam, in inbox-ul utilizatorului. Subiectul mesajului pretinde ca atasamentul inclus este un mesaj fax; fisierul este detectat de catre ESET ca Win32 /TrojanDownloader.Elenoocka.A. Daca atasamentul este deschis si software-ul antivirus nu ofera protectie impotriva acestuia o varianta de Win32 / FileCoder.DA va fi descarcata pe sistemul respectiv: toate fisierele sunt ulterior fi criptate si pot fi considerate pierdute pentru totdeauna, existand doar optiunea de a plati o rascumparare in Bitcoin, aparent singura speranta care promite sa redea ulterior accesul la informatiile blocate de procesul de criptare.

Unele variante ale Win32 / TrojanDownloader.Elenoocka.A se conecteaza la un URL pentru a descarca codul malware detectat de ESET ca Win32 / FileCoder.DA si cunoscut sub numele de CTB Locker. Aceasta familie de ransomware cripteaza toate fisierele intr-un mod similar cu CryptoLocker. Principala diferenta este ca aceasta familie de malware foloseste un alt algoritm de criptare, de la care provine numele sau.

Rezultatul procesului este similar cu cel derulat de catre CryptoLocker sau TorrentLocker – fisierele cu extensii MP4, .pem, .jpg, .doc, .cer, DB etc. sunt criptate cu o cheie stiuta doar de atacatori, ceea ce face practic imposibila recuperarea fisierelor. Dupa ce codul de malware termina criptarea informatiilor utilizatorului se afiseaza un avertisment si se modifica de asemenea fundalul desktopului.

Mesajul va fi afisat, in functie de aria de atac, in limba germana, olandeza, italiana si engleza, fiind adaptat pentru unele din tarile vizate. Chiar daca limba spaniola nu este una dintre limbile utilizate pentru a afisa mesajul de rascumparare, au fost detectate multe infectari in tarile vorbitoare de limba spaniola.

Un alt detaliu specific pentru CTB-Locker este ca nu doar mesajul este localizat si afisat utilizatorului in diferite limbi, ci si suma ce trebuie platita este convertita intr-o moneda corespunzatoare. In cazul in care utilizatorul alege sa vada mesajul in limba engleza pretul este afisat in dolari SUA, in caz contrar valoarea va fi in euro. Rascumpararea este de 8 Bitcoins, care in aceasta luna (ianuarie 2015) au o valoare de aproximativ 1700 de dolari.

Din pacate tehnica de criptare folosita de CTB-Locker face imposibila recuperarea fisierelor prin analizarea codului payload.

Merita de accea reamintite permanent masurile de siguranta care trebuiesc adoptate de catre utilizatori si companii:

Activati filtrarea dupa extensie. Acest lucru va permite sa blocati fisierele malware cu extensii cum ar fi .scr, cum este cazul extensiei utilizate de catre Win32 /TrojanDownloader.Elenoocka.A;
Evitati deschiderea atasamentelor din e-mailuri de origine dubioasa in cazul carora nu a fost identificat expeditorul;
Stergeti e-mailurile dubioase si marcati-le ca spam pentru a impiedica alti utilizatori sau angajatii ai companiei sa fie afectati de aceste amenintari;
Pastrati solutiile de securitate actualizate pentru a detecta cele mai recente amenintari care se raspandesc;
Efectuati riguros si des un back-up al informatiilor dumneavoastra critice;