CTB-LOCKER-2

Недавно в сети наткнулся на новый вирус CTB-LOCKER. CTB-LOCKER — это модифицированный вирус из  семейства давно известных FileCoder и вымогателей Win32/Virlock . Шифровальщик CTB‑locker аналогичен известному вирусу CryptoLocker, но отличается алгоритмами шифрования.

Данный вирус распространяется в основном по электроной почте, на почту приходит письмо с прикрепленным файлом или архивом который заражон вирусом. Распаковав архив на всех ваших  логических и сетевых дисках будут зашифрованы все документы MS Office, текстовые файлы,базы данных 1С, архивы  и картинки.  Вирус CTB-LOCKER  добавит ко всем выше перечисленным файлам своё расширение — .emunlpd

CTB-LOCKER-4

 

После того как CTB‑locker завершит процесс шифрования всех файлов с расширениями mp4, .pem, .jpg, .doc, .cer, .db он заменит обои рабочего стола на свои с сообщением следующего содержания:

 

Your personal files are encrypted by CTB-locker


Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer.

Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key.

If you see the main locker window, follow the instructions on the locker. Otherwise, it’s seems that you or your antivirus deleted the locker program.

Now you have the last chance to decrypt your files.

Open http://[edited].onion.cab or http://[edited].tor2web.org in your browser. They are public gates to the secret server.

If you have problems with gates, use direct connection:

1. Download Tor Browser from http://torproject.org

2. In the Tor Browser open the http://[edited].onion/
Note that this server is available via Tor Browser only.
Retry in 1 hour if site is not reachable.

Copy and paste the following public key in the input form on server. Avoid missprints.
XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX
XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX
XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX

Follow the instructions on the server.

Перевод:

Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы с сильным ключом шифрования и уникальный ключ, сгенерирован персонально для этого компьютера.

Закрытый ключ дешифрования хранится на секретном сервере в сети Интернет, и никто не может расшифровать файлы, пока вы заплатите и получить секретный ключ.

Если вы видите главное окно блокировщика, следуйте инструкциям на блокировщике. В противном случае, это кажется, что вы или ваш антивирус удалил программу шкафчика.

Теперь у вас есть последний шанс, чтобы расшифровать файлы.

Открыть http://[edited].onion.cab или http://[edited].tor2web.org в вашем браузере. Они являются  входом на секретный сервер.

Если у вас возникли проблемы со входом, используйте прямую связь:

1. Скачать Tor Browser из http://torproject.org

2. В Диспетчере Tor открыть http://[edited].onion/
Обратите внимание, что этот сервер доступен только через Tor Browser.
Повторите в течение 1 часа, если сайт не доступен.

Скопируйте и вставьте следующий открытый ключ в форме ввода на сервере. Избегайте missprints.
XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX
XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX
XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX

 

CTB-LOCKER-1

 

 

Зайдя на сайт по инструкции, мы увидели, что вирус CTB-Locker за расшифровку файлов требует 1, 5 биткоина (электронная валюта которую невозможно отследить), что примерно равняется 800$.  На этом этапе мы решили прекратить эксперименты 🙂 по этой причине не можем вам сказать точно будут ли расшифрованы файлы после оплаты как обещает вымогатель или нет.

На официальном блоге компании антивируса Касперский, представитель компании пишет, что расшифровать файлы зашифрованные алгоритмом вируса не имея ключа сейчас не предоставляется возможным и предложил для быстрого решения проблемы — просто заплатить вымогателям.

Как защитить свой компьютер от вируса шифровальщика CTB-LOCKER?

  • не открывайте сообщения от незнакомых вам адресатов
  • не распаковывайте вложенные архивы в письмах авторов которых вы не знаете
  • удаляйте подозрительные письма.

 

Решение проблемы вируса шифровальщика CTB-LOCKER

Удаление самого вируса или его скрипта не составляет труда — по старинке, перезагрузите компьютер в безопасном режиме и удалите вирус. Вирус то удалится, но файлы так и останутся зашифрованными и последующие прогоны разными антивирусами результатов не дадут.

Единственный возможный вариант решения проблемы с зашифрованными файлами — это восстановление данных из архивной копии. Если у вас её нет  то прийдется или платить вымогателям или ждать пока антивирусные системы что-то придумают.

 

Если вам известны другие варианты делитесь ими в комментариях