Vigyázat! A ransomware-ek egy új törzse garázdálkodik!

Vigyázat! A ransomware-ek egy új törzse garázdálkodik!

PandaLabs-es kollégáink a ransomware-ek egy új törzsét fedezték fel: a Trj/RansomCrypt.B-t. Másnéven a CTB-Locker, ami a korábbi hasonló fertőzésektől abban tér el, hogy amennyiben fizet az áldozat, úgy ismét elérheti a zárolt fájljait.

Ez a fajta kártevő általában e-mailen keresztül jut el áldozataihoz, ezzel meggyőzve a felhasználót ártalmatlanságáról. Futtatáskor a kártevő titkosítja az áldozat számítógépén található képeket és dokumentumokat, majd lecseréli az asztal háttérképét az alábbi képre. A képen látható információkról egyúttal egy szöveges fájlt is létrehoz.

A Panda Security védelmi megoldásai észlelik és blokkolják az ilyen típusú fenyegetések többségét.

A fizetési határidő lejárta előtt a következő kép jelenik meg, követelve a váltságdíjat. Ha a díj nem kerül időben befizetésre, úgy a követelt összeg megemelkedik.

A ’Next’ gombra kattintva egy újabb kép jelenik meg, informálva az áldozatot, hogy amennyibe fizet, úgy a titkosított fájljai feloldásra kerülnek. Bizonyításképp 5 dokumentumot felszabadítanak.

Hogyan ismerjük fel a CTB-Lockert?

  • A kártevő e-mailen keresztül érkezik, csatolmánnyal. Lehet Word fájl .doc vagy .rtf kiterjesztéssel, vagy tömörített fájl (.zip), amely tartalmaz egy .scr fájlt.
  • Néhány változata a kártevőnek, a fájlok titkosítása mellett ellopja az áldozat címjegyzékét is, hogy újabb potenciális áldozatokat keressen. Ami még rosszabb, hogy a kártevő meghamisítja a levél küldőjének címét, így az áldozat egy ismert címről kapja a fertőzést.
  • Itt tekinthet meg fertőzött e-mail példákat.

Hogyan kerülhetjük el a Ransomware-t?

  • Tartsa operációs rendszerét naprakészen, hogy elkerülje a biztonsági hibákat.
  • Győződjön meg róla, hogy van antivírus szoftver telepítve, amely naprakész.
  • Ne nyisson meg ismeretlen forrásoktól érkezett e-maileket vagy fájlokat.
  • Ne böngésszen gyanús weboldalakat vagy nem ellenőrzött tartalmakat.

Hogyan akadályozhatjuk meg, hogy a kártevő hozzáférjen személyes adatainkhoz?

Tekintse meg videónkat, melyben bemutatjuk, hogy miként lehet megelőzni a Panda Data Shield Protection-nel, hogy a kártékony programok elérjék személyes adatainkat.

Kérjük, vegyék figyelembe, hogy ez a videó a Data Shield Protection funkción alapul, ami kezdetben a Panda Cloud Antivirus csomag tartalma volt. Jelenleg ez a védelem csak a Panda Internet Security 2015, a Panda Global Protection 2015 és a Panda Gold Protection csomagokban található meg.

A CTB Locker/Critroni Ransom kártevő technikai részletei és a fertőzött fájlok visszaállítása

Leírás és tünetek

A CTB Locker/ Critroni Ransom egy ismert Ransomeware családba tartozik (.NET kiterjesztésben írva), melyet az Angler ExploitKit terjeszt, hogy titkosítsa a meghajtón található összes személyes adatot.

Hogy pontosak legyünk, a CTB Locker/Critroni vírus bizonyos fájlokat titkosít a helyi és hálózati meghajtókon, az ECDH cryptographic algoritmus segítségével (Elliptic Curve Diffie-Hellman). Néhány legfőbb jellemzője:

  • TOR szervert használ a ’command and control’-hoz (C&C) való csatlakozáshoz és a titkosításhoz szükséges kulcs letöltéséhez. A szerző nem más, mint aki a kódolt minták feloldásához a kulcsokkal rendelkezik.
  • A titkosítás ECDH-val történik, a szerző pedig a kulcsokkal rendelkező illető, így ha egyszer a fájlok titkosításra kerülnek, lehetetlen visszaállítani őket a kulcs nélkül.
  • Amikor a CTB Locker/Critroni titkosít egy fájlt, .ctb2 kiterjesztést ad az eredeti fájl névhez (pl.: file.txt.ctb2) és törli az eredeti fájlokat.
  • A ransomeware telepítődik a Feladatkezelőbe, hogy minden újraindításkor automatikusan futtatásra kerüljön.
  • Készít egy asztali háttérképet, melyben közli, hogy a ransomeware a rendszerbe települt (egy véletlenszerű néven: AllFilesAreLocked[numbers].bmp) a felhasználó My Documents mappájába.
  • Készít egy véletlenszerű fájlt (DecryptAllFiles [numbers].txt) is a My Documents mappába, melyben a szükséges lépéseket írja le, ha vissza szeretnénk állítani fájljainkat.

Fertőzött fájlok visszaállítása

A CTB Locker/Critroni nem távolítja el a volume shadow copy-t (VSS), így függően az operációs rendszertől, amennyiben az Windows Vista vagy újabb, úgy lehetségessé válik visszaállítani a kártevő által fertőzött fájlok másolatát.

Ebben az esetben a következő lépéseket kell végrehajtani:

  1. Töltse le és telepítse a következő szoftvert: http://www.shadowexplorer.com/downloads.html 
  2. Telepítés után keresse meg a fertőzött fájlok helyét.

  1. Válasszon ki egy a fertőzés előtti dátumot

  1. Válassza ki a fertőzött fájlt vagy mappát és kattintson az Export gombra.

Ez az eljárás lehetővé teszi, hogy a fertőzött fájlok egy korábbi verzióját visszaállítsa.

Fentiek alapján világossá válik, hogy nem mindig lehetséges technikai szempontból visszaállítani a titkosított fájlokat. Ennek figyelembevételével egyértelművé válik, hogy a fertőzés ellen a legjobb megoldás a megelőzés.

A Panda ennek érdekében az új Anti-exploit technológiát alkalmazza, melyek elérhetőek mind a vállalati (Panda Cloud Office Protection), mind pedig az otthoni (2015-ös termékek) megoldásainkban. A ransomware viselkedésére alapozva folyamatosan dolgozunk annak leghatékonyabb detektálásán és blokkolásán. Ezen megoldásaink folyamatosan frissítésre kerülnek termékeinkben.

Egyéb Ransomware-ek és megelőzésük

Az ilyen típusú fertőzések többségét egyelőre csak preventív módon lehet kikerülni. A Panda Security a megelőzés érdekében a fentebb is említett új Anti-exploit technológiát alkalmazza, melyek elérhetőek mind a vállalati (Panda Cloud Office Protection), mind pedig az otthoni (2015-ös termékek) megoldásainkban.

Megelőző kulcslépések

Monitorozni kell és megakadályozni, hogy ismeretlen folyamatok módosítsák a következő fájl típusokat: .doc, .ppt, .xls stb.

Érzékelni kell azokat az ismeretlen folyamatokat, amik megpróbálják letörölni az árnyékmásolatokat. Ez egy szokásos viselkedési módja a ransomware-eknek, ezzel akadályozzák meg, hogy a fertőzött fájlok a korábbi verzióra visszaállíthatóak legyenek.

A Panda Security-nál ezek az eljárások már folyamatban vannak, valamint folyamatosan újabbak is kialakításra kerülnek. Eltekintve az detektálás fejlesztésétől, amit fentebb említettünk, az otthoni termékek esetében az új 2015 –ös verziók tartalmaznak két új szolgáltatást, amik kifejezetten a ransomware-ek ellen lettek kifejlesztve és csökkentik ezek hatásfokát.

A Data Shield Protection, amit a 2015-ös Panda megoldásainkban tartalmaznak, egy extra biztonsági szolgáltatást nyújt azon rosszindulatú szoftverek ellen, amik megpróbálják elérni az érzékeny felhasználói adatokat kártékony célokkal. A Data Shield lehetővé teszi a felhasználók számára, hogy definiálja/kijelölje azokat a helyeket, melyen a védeni szánt adatok találhatóak, valamint a feltelepített programoknak be tudja állítani ezen adatokhoz tartozó elérési engedélyeit.

A 2015-ös Panda megoldásokban található Application Control szolgáltatás lehetővé teszi, hogy beállítsuk, hogy a telepített programok közül mi futtatható és mi nem. Ezzel a szolgáltatással egy biztonságos zárt környezetet lehet kialakítani (sandbox). Így ez egy ideális extra védelem a nulla-napos fenyegetésekkel szemben. Az Application Control-lal nem csak azt lehet szabályozni, hogy melyik program futhat a gépünkön, de az is lehetséges, hogy beállítsuk, hogy a védelem milyen műveleteket hajtson végre, amikor egy ismeretlen program megpróbál települni. Így az Application Control-nál lehetőségünk van beállítani, hogy közvetlenül blokkolja a programot vagy megerősítést kérjen a telepítés végrehajtása előtt.

A „Hogyan akadályozhatjuk meg, hogy a kártevő hozzáférjen személyes adatainkhoz?” fejezetben működés közben is megtekintheti a Data Shield Protection-t.

Ransomeware típusok és Terméktámogatásunk által nyújtott megoldások

Program

Tünet

Státusz

CryptoLocker

Dokumentum megnyitásakor jelzi, hogy titkosította a  CryptoLocker

A titkosítás módja miatt nem visszaállítható.

Bővebb információ:
Win32.crilock.a_ENG.doc
Win32.crilock.a_ESP.doc

DirtyDecrypt

Dokumentum megnyitásakor jelzi, hogy titkosította a DirtyDecrypt

A titkosítás módja miatt nem visszaállítható.

Bővebb információ: DirtyDecrypt.doc

 

Antiporn Child Porn Spam Protection v2

W2K3 Server újraindításakor a normál asztal helyett egy üzenet jelzi, hogy a fileok titkosítva lettek

A titkosítás módja miatt nem visszaállítható.

Bővebb információ:
Antiporn child ransom v2 ENG.doc

A gép elérhetővé tételéhez scannelni kell a Police RescueDisk programmal

".omg!" kiterjesztés

Fileok átnevezve .omg! kiterjesztésre (titkosítva)

A titkosítás módja miatt nem visszaállítható.

Fontos: Mintákra van szükség, az eredeti és a titkosított filera is szükség van a vizsgálathoz. PCOP esetén a MUID is szükséges.

 "nobackup" kiterjesztés

Fileok átnevezve nobackup kiterjesztésre (titkosítva)

Vizsgálat alatt.

"html" kiterjesztés

Fileok átnevezve html kiterjesztésre (titkosítva)

Megoldás elérhető00031798 DapatoDecryptor programmal helyreállíthatóak a fileok.

Antiporn Child Porn Spam Protection

W2K3 Server újraindításakor a normál asztal helyett egy üzenet jelzi, hogy a fileok titkosítva lettek

Megoldás elérhető: A gép elérhetővé tételéhez scannelni kell a  Police RescueDisk programmal
Amint elérhető ismét a gép, ransom_antichild_decrypter.exe programmal helyreállíthatóak a fileok.

Nagyon Fontos: Nem törölhető a C:\ProgramData, sem a mappa tartalma, mivel ez megakadályozza a helyreállítást. Figyelni kell a megfelelő szabad helyre, mivel a helyreállítás nem törli a titkosított fileokat.

A kártevő egyelőre csak a Spanyolországban található Windows 2003 Servereket érinti

Police

Számítógép újraindításakor a normál asztal helyett Police üzenet jelzi, hogy a fileok titkosítva lettek

Új SafeCD lett kifejlesztve.

Futtatni kell egy keresést a SafeCD-vel:
http://www.pandasecurity.com/resources/sop/safecd/pandarescuedisk.iso
Majd keresést kell futtatni a telepített védelmi szoftverrel.
Bővebb információ: My computer hijacked by the national police

CTB Locker/Critroni Ransom

Fileokhoz ctb kiterjesztés hozzáadása, a számítógép újraindításakor a normál asztal helyett üzenet jelzi, hogy a fileok titkosítva lettek

Megoldás lehetséges: A kártevő nem törli a VSS Shadow copy tartalmát.
1. Le kell tölteni az alábbi programot: http://www.shadowexplorer.com/downloads.html

2. Ki kell tallózni a helyet, ahol a titkosított fileok találhatóak

3. Ki kell választani egy fertőzés előtti dátumot

4. Kiválasztani az érintett mappákat vagy fileokat, majd Export.

 

Folyamatos fejlesztés

A ransomeware-el szerzett tapasztalataink alapján, annak viselkedésére alapozva folyamatosan dolgozunk azon, hogy ügyfeleink a lehető legnagyobb biztonságban legyenek. Ahogy újabb/hatékonyabb eljárást találunk a kártevő blokkolására, úgy frissítjük azokat megoldásainkban.

Reméljük az információkat hasznosnak találták, ha bármi kérdésük lenne a kártékony programokkal kapcsolatosan, keressenek minket bizalommal.