Недавно в сети наткнулся на новый вирус CTB-LOCKER. CTB-LOCKER — это модифицированный вирус из семейства давно известных FileCoder и вымогателей Win32/Virlock . Шифровальщик CTB‑locker аналогичен известному вирусу CryptoLocker, но отличается алгоритмами шифрования.
Данный вирус распространяется в основном по электроной почте, на почту приходит письмо с прикрепленным файлом или архивом который заражон вирусом. Распаковав архив на всех ваших логических и сетевых дисках будут зашифрованы все документы MS Office, текстовые файлы,базы данных 1С, архивы и картинки. Вирус CTB-LOCKER добавит ко всем выше перечисленным файлам своё расширение — .emunlpd
После того как CTB‑locker завершит процесс шифрования всех файлов с расширениями mp4, .pem, .jpg, .doc, .cer, .db он заменит обои рабочего стола на свои с сообщением следующего содержания:
Your personal files are encrypted by CTB-locker
Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer.Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key.
If you see the main locker window, follow the instructions on the locker. Otherwise, it’s seems that you or your antivirus deleted the locker program.
Now you have the last chance to decrypt your files.
Open http://[edited].onion.cab or http://[edited].tor2web.org in your browser. They are public gates to the secret server.
If you have problems with gates, use direct connection:
1. Download Tor Browser from http://torproject.org
2. In the Tor Browser open the http://[edited].onion/
Note that this server is available via Tor Browser only.
Retry in 1 hour if site is not reachable.Copy and paste the following public key in the input form on server. Avoid missprints.
XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX
XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX
XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXXFollow the instructions on the server.
Перевод:
Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы с сильным ключом шифрования и уникальный ключ, сгенерирован персонально для этого компьютера.
Закрытый ключ дешифрования хранится на секретном сервере в сети Интернет, и никто не может расшифровать файлы, пока вы заплатите и получить секретный ключ.
Если вы видите главное окно блокировщика, следуйте инструкциям на блокировщике. В противном случае, это кажется, что вы или ваш антивирус удалил программу шкафчика.
Теперь у вас есть последний шанс, чтобы расшифровать файлы.
Открыть http://[edited].onion.cab или http://[edited].tor2web.org в вашем браузере. Они являются входом на секретный сервер.
Если у вас возникли проблемы со входом, используйте прямую связь:
1. Скачать Tor Browser из http://torproject.org
2. В Диспетчере Tor открыть http://[edited].onion/
Обратите внимание, что этот сервер доступен только через Tor Browser.
Повторите в течение 1 часа, если сайт не доступен.Скопируйте и вставьте следующий открытый ключ в форме ввода на сервере. Избегайте missprints.
XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX
XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX
XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX
Зайдя на сайт по инструкции, мы увидели, что вирус CTB-Locker за расшифровку файлов требует 1, 5 биткоина (электронная валюта которую невозможно отследить), что примерно равняется 800$. На этом этапе мы решили прекратить эксперименты 🙂 по этой причине не можем вам сказать точно будут ли расшифрованы файлы после оплаты как обещает вымогатель или нет.
На официальном блоге компании антивируса Касперский, представитель компании пишет, что расшифровать файлы зашифрованные алгоритмом вируса не имея ключа сейчас не предоставляется возможным и предложил для быстрого решения проблемы — просто заплатить вымогателям.
Как защитить свой компьютер от вируса шифровальщика CTB-LOCKER?
- не открывайте сообщения от незнакомых вам адресатов
- не распаковывайте вложенные архивы в письмах авторов которых вы не знаете
- удаляйте подозрительные письма.
Решение проблемы вируса шифровальщика CTB-LOCKER
Удаление самого вируса или его скрипта не составляет труда — по старинке, перезагрузите компьютер в безопасном режиме и удалите вирус. Вирус то удалится, но файлы так и останутся зашифрованными и последующие прогоны разными антивирусами результатов не дадут.
Единственный возможный вариант решения проблемы с зашифрованными файлами — это восстановление данных из архивной копии. Если у вас её нет то прийдется или платить вымогателям или ждать пока антивирусные системы что-то придумают.
Если вам известны другие варианты делитесь ими в комментариях
Очень полезная статья. Спасибо за информацию. А как его удалить ? Есть ли пошаговая инструкция?
CTB-Locker копирует свои файл(ы) на ваш жёсткий диск. Типичное имя файла (randomname).dll. Потом он создаёт ключ автозагрузки в реестре с именем CTB-Locker и значением (randomname).dll. Вы также можете найти его в списке процессов с именем (randomname).dll или CTB-Locker.
Доброго дня!
Сегодня установил программу для удаления CTB-Locker. Программа называется SpyHunter 4. Проверив весь компьютер у меня он находился в файле qure.exe . А версия вируса CTB-LOCKER CRITONI RANSOMWARE . Кстати почитав подробнее про него в интернете, узнал, что даже заплатив средства, которые просит злоумышленник вы не получите ключ для дешифрования ваших файлов. Самый просто способ это делать бэкап на электронный носитель или же закидывать все в архив rar,zip с паролем, что поможет защитить файлы от шифрования.