Bezpieczeństwo

Jak ochronić się przed CTB-Locker - szyfruje pliki i żąda okupu

Wojciech Kulik | Redaktor serwisu benchmark.pl
19 komentarzy Dyskutuj z nami

W zamian za odblokowanie dostępu do plików żąda okupu w wysokości 8 Bitcoinów.

CTB-Locker info

CTB-Locker to znane już od jakiegoś czasu zagrożenie typu ransomware. Złośliwe oprogramowanie działa podobnie do CryptoLockera, to znaczy szyfruje pliki znajdujące się na komputerze użytkownika, a następnie żąda okupu w Bitcoinach w zamian za ich odblokowanie. Laboratorium ESET zauważyli ostatnio wzmożoną działalność tego zagrożenia w Polsce.

CTB-Locker oznaczany jest jako Win32/FileCoder.DA. Eksperci z firmy ESET wyjaśniają, że infekcja odbywa się poprzez wiadomość e-mail, do której dołączany jest załącznik przypominający fakturę. Dokument ten w rzeczywistości zawiera konia trojańskiego Win32/TrojanDownloader.Elenoocka.A, który to z kolei pobiera właściwe oprogramowanie CTB-Locker.

Gdy oprogramowanie zostanie uruchomione, poszczególne pliki (dokumenty MS Word, zdjęcia, filmy itd.) na komputerze ofiary są szyfrowane. Oczom użytkownika ukazuje się natomiast komunikat informujący, że jedyną szansą na odzyskanie dostępu do plików jest wpłacenie okupu w wysokości 8 Bitcoinów (to równowartość ok. 6 tysięcy złotych).

CTB-Locker Polska
Eksperci z laboratorium ESET zauważyli ostatnio wzmożoną działalność konia trojańskiego Win32/TrojanDownloader.Elenoocka.A w Polsce. Ten zaś służy do pobierania właściwego oprogramowania CTB-Locker. / Grafika: ESET

„Oba zagrożenia, CTB-Locker oraz Cryptolocker, szyfrują pliki na urządzeniu ofiary, jednak różnią się w zakresie wykorzystywanego algorytmu szyfrowania. Warto zwrócić uwagę na skutki, jakie może przynieść ze sobą ta infekcja – zarówno użytkownicy domowi, jak i duże przedsiębiorstwa, jeśli nie utworzyły kopii zapasowej swoich plików, mogą być zmuszone zapłacić tysiące dolarów, by odzyskać swoje dane” – mówi  Kamil Sadkowski, analityk zagrożeń firmy ESET.

Jak więc można ochronić się przed CTB-Locker i innymi zagrożeniami typu ransomware? Wyłącznie poprzez profilaktykę. Bartłomiej Stryczek, Team Leader firmy ESET przygotował pięć rad, które mogą wam w tym pomóc:

  1. Stwórz kopię zapasową swoich plików – zaszyfrowanych plików nie da się rozszyfrować bez znajomości sekretnego klucza, dlatego tak ważne jest robienie kopii swoich plików.
  2. Aktualizuj oprogramowanie – dzięki systematycznym aktualizacjom możesz mieć pewność, że wszystkie znane luki zostały załatane, co znacząco wpływa na bezpieczeństwo.
  3. Zachowaj czujność podczas korzystania z sieci – podejrzana strona, nagła zmiana zawartości serwisu WWW lub żądanie podania dodatkowych danych podczas logowania do serwisu powinny wzbudzić twoją czujność.
  4. Aktualizuj program antywirusowy do najnowszej wersji – dzięki nowej wersji programu, wszystkie zagrożenia są jeszcze skuteczniej wykrywane i blokowane. Nie zapomnij także o aktualizacji bazy sygnatur i komponentów programu udostępnianych przez producenta. Warto również sprawdzić, czy nie są stworzone wykluczenia ze skanowania w konfiguracji programu antywirusowego, w szczególności elementów poczty email, za pomocą której rozprzestrzenia się CTB-Locker. Ważne jest także, aby skanowanie wszystkich i plików i ich rozszerzeń było domyślnie włączone. 
  5. Zachowaj ostrożność - nie otwieraj załączników pochodzących z nieznanych źródeł, a w przypadku wiadomości podszywających się pod faktury – zweryfikuj numer konta jaki jest podany w treści maila. Klienci poszczególnych firm zawsze mają własny indywidualny numer konta, a ten w wiadomościach phishingowych różni się od niego.

Źródło: ESET, VirusResearch

Komentarze

19
Zaloguj się, aby skomentować
avatar
Dodaj
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    Flynn
    Te narzędzia są dość zaawansowane i "sprytne". Potrafią szyfrować nawet dane na dyskach sieciowych podłączonych do PC (jeśli użytkownik oczywiście ma odpowiednie prawa). W ten piękny sposób jeden z europejskich oddziałów firmy w której pracuję stracił trzy miesiące pracy :). Wszystko zaszyfrowane, a za odszyfrowanie zażądali $900. Jako, że polityka bezpieczeństwa przewiduje zasadę "z terrorystami się nie negocjuje", to dane zostały bezpowrotnie stracone*.

    *tutaj ukłon w stronę pana, który słysząc o backupach stwierdził "a po co mi to? Przecież macierz się nie rozsypie
    4
  • avatar
    AkaRyupl
    Czyli coś podobnego jak te niby z poczty polskiej? No to ciężko się nabrać...
    2
  • avatar
    ZombaL
    Pliki są szyfrowane na wszystkich dostępnych dyskach/partycjach włącznie z zamapowanymi poprzez sieć.
    1
  • avatar
    Diego21
    Ostatnio przychodzi mi spam niby od "poczty polskiej" że jakaś faktura po linkiem itp.
    Tylko że łamana polszczyzna jak z translatora i adres na pewno nie z polski zdradza od razu co to jest :P
    1
  • avatar
    Konto usunięte
    Swoja droga to takie firmy jak ESET czy Kaspersky i inne duze od bezpieczenstwa moglyby te wirusy rozpracowac, zlamac klucz i odszyfrowywac dane klientom ktorych zawiedli (bo mieli ich antyvirusa ktory puscil zagrozenie).
    Co to za sztuka rozpracowac kod wirusa i go oszukac? Albo z sieci ciagnie klucz do rozszyfrowania wraz z informacja, albo ciagnie sama informacje ze zaplacono i ma odszyfrowac. Jedno i drugie da sie na pewno obejsc.
    1
  • avatar
    wizdar
    A jak ktoś złapie to g*wno i zapłaci to w razie powtórki kolejne odszyfrowania ma już za darmo czy ewentualnie jakąś zniżkę?
    1
  • avatar
    Konto usunięte
    >>Miej ESETa.
    >>Otwieraj jakieś nieznane załączniki.
    >>Płacz, że ci jakieś badziewie zainfekowało komputer.
    Because logic.

    Noda32 miałem tylko raz. Podobnie, jak Avasta i MS Essentials. Zgadnijcie czemu. Za to za każdym razem, jak pojawi się coś groźniejszego niż wirus "Polizja lolololo" pojawia się artykuł (co samo w sobie jest bardzo na plus) o tym co to jest, skąd się to bierze i jak z tym walczyć. Niestety gdzieś pod koniec tego artykułu zawsze pojawia się taki miniporadnik dla bota. I to w sumie też jest in plus, bo aktualizować programy i nie otwierać nieznanych plików się powinno.

    Za to za każdym razem drażni mnie wrzucane tam z premedytacją "stwórz kopię zapasową swoich plików". "Nie no, to też jest super ważne" powiecie. Tak, jasne. Tylko do pewnego momentu. Mniej więcej, jak się robi backup tak do 500GB.
    Bo jak się ma na ten przykład cztery 2TB dyski to już niekoniecznie. Pomijam kwestię, że żeby robić kopię, to musielibyśmy się zaopatrzyć w minimum tyle samo miejsca, co po kieszeni już potrafi uderzyć... ale... serio. Zakładając, że chcemy być tak bardzo super i robić ten backup co miesiąc. Co miesiąc backup 8TB, mhm, jasne, prędzej szlag was trafi, bo transfery będą ograniczać w nieskończoność (szczególnie przy malutkich plikach; swoją drogą- tu nawet USB3.0 i sławetne Thunderbolty będą za wolne). Opcjonalnie ceny dysków nas zabiją lub skończy nam się chęć takiej zabawy.
  • avatar
    Konto usunięte
    Jak używają Nod32 to niech się nie dziwią że tego syfa mają na komputerze. Poza tym widać na statystykach gdzie najpopularniejszy jest ten durny program antywirusowy.
    -13
  • avatar
    Konto usunięte
    Jeśli posiada się dane na innym dysku (fizycznym nie logicznym) niż systemowy to też jest się narażonym na to?
  • avatar
    Konto usunięte
    No to format.