CTB-Locker: Polacy na celowniku nowego zagrożenia typu ransomware

Karolina Janeczko, Dagma 30-01-2015, 10:46
Aktualizacja: 30-01-2015, 15:16

CTB-Locker działa w podobny sposób jak opisywany już u nas CryptoLocker - szyfruje pliki użytkownika znajdujące się na komputerze, a następnie żąda okupu w bitcoinach.

Złośliwe oprogramowanie CTB-Locker jest oznaczane przez ESET jako Win32/FileCoder.DA. Infekcja zaczyna się w momencie, gdy ofiara otworzy otrzymany w e-mailu załącznik przypominający fakturę. Plik zawiera konia trojańskiego Win32/TrojanDownloader.Elenoocka.A, który próbuje pobrać kolejne złośliwe oprogramowanie - w tym przypadku CTB-Lockera.

Po uruchomieniu na urządzeniu ofiary zagrożenie szyfruje poszczególne pliki ze zdjęciami i filmami oraz dokumenty programu Microsoft Word, a następnie wyświetla komunikat z żądaniem okupu. Jeśli ofiara chce przywrócić dostęp do zaszyfrowanych plików, musi zapłacić 8 bitcoinów, czyli równowartość ok. 6000 złotych.

- Oba zagrożenia, CTB-Locker oraz Cryptolocker, szyfrują pliki na urządzeniu ofiary, jednak różnią się w zakresie wykorzystywanego algorytmu szyfrowania. Warto zwrócić uwagę na skutki, jakie może przynieść ze sobą ta infekcja - zarówno użytkownicy domowi, jak i duże przedsiębiorstwa, jeśli nie utworzyły kopii zapasowej swoich plików, mogą być zmuszone zapłacić tysiące dolarów, by odzyskać swoje dane - mówi Kamil Sadkowski, analityk zagrożeń firmy ESET.

Rozpowszechnianie się CTB-Lockera na świecie

Rozpowszechnianie się CTB-Lockera na świecie, źródło: ESET

Aby uchronić się przed tego typu atakami, należy zacząć od profilaktyki. Oto kilka rad, które pozwolą uchronić się przed infekcją:

  1. Stwórz kopię zapasową swoich plików - zaszyfrowanych plików nie da się rozszyfrować bez znajomości sekretnego klucza, dlatego tak ważne jest robienie kopii swoich plików.

  2. Aktualizuj oprogramowanie - dzięki systematycznym aktualizacjom możesz mieć pewność, że wszystkie znane luki zostały załatane, co znacząco wpływa na bezpieczeństwo.

  3. Zachowaj czujność podczas korzystania z sieci - podejrzana strona, nagła zmiana zawartości serwisu WWW lub żądanie podania dodatkowych danych podczas logowania do serwisu powinny wzbudzić Twoją czujność.

  4. Aktualizuj program antywirusowy do najnowszej wersji - dzięki nowej wersji programu wszystkie zagrożenia są jeszcze skuteczniej wykrywane i blokowane. Nie zapomnij także o aktualizacji bazy sygnatur i komponentów programu udostępnianych przez producenta. Warto również sprawdzić, czy nie są stworzone wykluczenia ze skanowania w konfiguracji programu antywirusowego, w szczególności elementów poczty e-mail, za pomocą której rozprzestrzenia się CTB-Locker. Ważne jest także, aby skanowanie wszystkich i plików i ich rozszerzeń było domyślnie włączone.

  5. Zachowaj ostrożność - nie otwieraj załączników pochodzących z nieznanych źródeł, a w przypadku wiadomości podszywających się pod faktury zweryfikuj numer konta, jaki jest podany w treści e-maila. Klienci poszczególnych firm zawsze mają własny indywidualny numer konta, a ten w wiadomościach phishingowych różni się od niego.

Aktualizacja I

Na pytanie Czytelnika, który chciał się dowiedzieć, co konkretnie w powyższym tekście oznaczają słowa „przypominający fakturę”, odpowiedział Kamil Sadkowski, analityk zagrożeń firmy ESET:

Sprawa wygląda tak: to plik EXE zawierający w sobie dokument RTF. Po uruchomieniu plik EXE zapisuje na dysku dokument RTF, a następnie otwiera go w edytorze tekstu. W ten sposób użytkownikowi wyświetlona zostaje fałszywa faktura (zrzut ekranu poniżej), zaś w tle - w sposób niewidoczny dla użytkownika - wykonuje się złośliwy kod zagrożenia.

Załącznik przypominający fakturę

Aktualizacja II

Dziennik Internautów zapytał analityka zagrożeń firmy ESET, co może doradzić użytkownikom, których komputer został zainfekowany omawianym zagrożeniem. W przypadku każdej infekcji złośliwym oprogramowaniem radzimy skorzystać ze skanera antywirusowego, np. darmowego ESET Online Scannera, który usunie CTB-Lockera z dysku - odpowiedział Kamil Sadkowski.

Zapytaliśmy również, czy jest jakiś sposób na odzyskanie plików bez płacenia okupu. Niestety nie mamy dobrych wieści. Nie istnieje metoda, która gwarantowałaby za każdym razem przywrócenie pierwotnej zawartości wszystkich zaszyfrowanych plików - poinformował ekspert. - W niektórych przypadkach pomocne mogą okazać się narzędzia do odzyskiwania danych z dysku - istnieje szansa, że z ich pomocą przywrócimy przynajmniej część zaszyfrowanych danych. Nie ma jednak złotej recepty - zagrożenia typu ransomware szyfrujące pliki należą do tych najbardziej kłopotliwych dla użytkowników. Dlatego zawsze przypominamy o profilaktyce w postaci regularnego tworzenia kopii zapasowej wszystkich naszych ważnych danych.

Załóżmy, że nie zrobiliśmy kopii, a mamy na dysku naprawdę ważne dokumenty, których nie chcemy stracić. Czy zapłacenie okupu gwarantuje ich odzyskanie? Nigdy nie ma 100% pewności, że po zapłaceniu okupu pliki zostaną odszyfrowane, dlatego odradzamy takie rozwiązanie - nie wspierajmy cyberprzestępczego biznesu - powiedział Kamil Sadkowski.

Czytaj także: Fałszywe faktury w e-mailu - jak je rozpoznać i co robić


Przepisy na coś słodkiego z kremem Nutella
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy