CTB Locker - очень хорошо продуманный и опасный вирус. Писать о нем не буду - информации об этом вирусе в интернете очень много.
За последние 3 месяца некоторые наши клиенты поймали этого зверя, несмотря на предупреждения, обновленные корпоративные антивирусы и прочие решения защиты. У некоторых страдала отдельная рабочая машина, у других - сервер терминалов. Но средства резервного копирования всех спасали.
Последнее заражение одного из клиентов привело к потере большого количества данных, а также некоторых резервных копий. Ответственность за это лежала на клиенте - финансирование на расширение сервера резервного копирования не могли выделить пол года. Но суть не в этом. Нам поставили задачу платить создателям вируса (и тут финансирование резко нашлось).
Я не агитирую пользователей сообщества платить злоумышленникам (я противник этого), но, возможно, этот небольшой мануал кому-то поможет.
Далее я опишу пошагово, как платил плохим людям за расшифровку клиентских данных.
1. Итак, мы попали. Заразился компьютер пользователя (как заразился - пока еще выясняем; антиспам есть, антивирус есть, права пользователей урезаны). По сети вирус зашифровал файловый сервер, диск которого был подключен пользователю как сетевой. Вирус зашифровал те папки на сервере, на которые были права на запись данному пользователю. Также были зашифрованы локальные диски на компьютере пользователя.
2. Когда вирус закончил шифрование - выдал пользователю баннер. Нам было предложено расшифровать данные за 3.5 биткоина, что составляет приблизительно 805$. На принятие решения нам дали 90 часов.
3. На локальном диске в папке Документы были найдены инструкции как действовать.
Нам было предложено сходить в Tor-сеть и ввести на сайте злоумышленников публичный ключ с этого текстового файла. Увы, скриншота сайта я не сделал, сайт открывается очень редко и ничего нового я там не увидел. На сайте продублирована информация с баннера на рабочем столе пользователя: информация о сумме выкупа, ссылки на сайт, где можно купить биткоины, номер кошелька куда переводить и т.д., а также предложение расшифровать два файла размером до 1 мегабайта каждый в доказательство возможности расшифровки.
4. Перед началом всех работ зараженный компьютер пользователя и файловый сервер были изолированы в отдельную сеть с отдельным выходом в интернет. Проверил доступность сетевого диска. Все ОК. Начинаем.
5. Поиск биткоинов. Я до этого не покупал биткоины. Сайты предложенные злоумышленниками для покупки биткоинов нам не подходили. Нам надо купить крипто-валюту платежной картой украинского банка (создал виртуальную карту). Пошел искать способы покупки крипто-валюты. На просторах интернета был найден украинский сайт покупки-продажи биткоинов.
A) регистрируемся на сайте (при регистрации указывайте свой мобильный - на него будут приходить подтверждения транзакций), вносим UAH на счет.
B) Покупаем биткоины за гривны.
C) Переводим биткоины на кошелек, указанный злоумышленниками. Обратите внимание - на комиссию bitcoin-сети.
Подтверждаем транзакцию через СМС с телефона, указанного при регистрации на сайте. Транзакция заняла около 10-15 минут.
6. Ожидание. Итак, мы выполнили все условия злоумышленников. Что делать дальше? Сайт в сети Tor по прежнему не доступен. Как оказалось - нас не обманули. Банер на компьютере пользователя сменился с требования денег на информацию и том, что наша информация сейчас расшифровывается. Все произошло автоматически.
7. Расшифровка длилась около 2-х часов. Проверяем файловый сервер - все на месте, все отлично расшифровалось. Баннер предлагает нам сделать Rescan в том случае, если мы забыли перед началом расшифровки подключить сетевой диск или вставить USB Flash/HDD, который тоже был ранее зашифрован. Или нажать Close и он себя удалит с компьютера.
8. Делаем резервную копию файлового сервера (снова финансирование быстро нашлось на расширения пространства для резервных копий).
9. Подключаем файловый сервер назад в сеть пользователям. Компьютер пользователя форматируем, устанавливаем Windows и т.д.
10. Задумываемся о смене антивируса.
Надеюсь эта публикация кому-то помогла. Или, как минимум, напомнила о важности резервного копирования и свежих баз антивирусов.
В Интернете распространяется обновленная версия «лукового» трояна-вымогателя, о котором многие читатели уже могли слышать под именем CTB-Locker или Citroni .
Как его ни называй, CTB-Locker - это программа-вымогатель, общим принципом своей работы похожая на . Зашифровав данные на ПК пользователя - например, документы и фотографии, зловред требует выкуп за расшифровку данных.
Аббревиатура CTB в названии зловреда означает Curve Tor Bitcoin. Первое слово сообщает о том, что вымогатель использует нестандартный алгоритм шифрования (Elliptic Curve Diffie-Hellman). Второе: управляющие сервера зловреда спрятаны в анонимной . Наконец, третье: выкуп у своих жертв киберзлодеи требуют в .
CTB-Locker - очень серьезная угроза и один из самых сложных из существующих блокировщиков-шифровальщиков
«Сокрытие управляющих серверов в анонимной сети Tor усложняет розыск киберпреступников, а нестандартные схемы криптографии делают невозможной расшифровку файла, даже если перехватить трафик между троянцем и управляющим сервером, - говорит Федор Синицын, старший аналитик «Лаборатории Касперского». - Все это делает CTB-Locker очень серьезной угрозой и одним из самых сложных из существующих блокировщиков-шифровальщиков».
Новая версия трояна, занесенного в антивирусную базу «Лаборатории Касперского» под именем Trojan-Ransom.Win32.Onion, получила несколько интересных новых возможностей.
- «Первые 5 файлов бесплатно»: в качестве демонстрации троян позволяет расшифровать пять файлов без оплаты выкупа .
- Вымогатель локализован на трех новых языках: немецким, итальянским и голландским.
- CTB-Locker стало сложнее изучать, поскольку зловред получил новые свойства, мешающие специалистами работать с ним.
- Помимо прямого подключения через Tor, троян теперь умеет общаться с управляющими серверами через один из шести веб-сервисов, перенаправляющих запросы из открытого интернета в Tor.
Лучший (и в основе своей бесплатный) способ борьбы с программами-вымогателями - это проводить резервное копирование всех ценных файлов не реже чем раз в неделю, а также регулярно проверять, в рабочем ли состоянии резервные копии. также поможет защитить ваши файлы. Кроме того, следует убедиться, что были установлены все обновления.
Лучший способ защититься от #ransomware - сделать #backup ВЧЕРА
Tweet
Если ваш компьютер уже заражен, то без ключа, единственная копия которого хранится у преступников, восстановить зашифрованные трояном файлы невозможно. Конечно, вы можете заплатить выкуп, но нет никакой гарантии, что вымогатели любезно пришлют в ответ ключ для расшифровки файлов. Кибервымогательство уже стало серьезным, массовым видом бизнеса, и с приходом «Интернета вещей» ситуация, скорее всего, только ухудшится.
На данный момент в Kaspersky Security Network зарегистрирована 361 попытка заражения, в основном в России и на Украине. Функция «Мониторинг активности» (System Watcher) в решениях «Лаборатории Касперского» включает специальную защиту от трояна, описанного в этой статье, и других подобных ему зловредов. Как только подозрительная программа получает доступ к файлам пользователя, «Мониторинг активности» немедленно создает защищенную локальную копию файла. Поэтому не следует отключать этот компонент. И на всякий случай, пока вы не заразились, убедитесь, что он включен, - прямо сейчас.
Очень актуальный совет: как защититься от вирусов-шифровальщиков -
В Google Play можно найти множество приложений, которые меняют экран блокировки. Но чаще всего они обладают весьма бедным функционалом. Меняется стиль показа времени, да появляется новая картинка - вот и всё, чем они могут порадовать. К счастью, случаются и исключения. Попробуйте загрузить Super Locker. Этот блокировщик отличается от многих других тем, что он каким-то неведомым образом сокращает время подзарядки.
Интерфейс
Приложение можно скачать бесплатно. Весь функционал блокировщика открывается сразу после установки - никаких платных функций здесь нет. Продукт предназначен для Андроид - в первую очередь для смартфонов. Подходит версия операционной системы 4.0.3 или более поздняя. К сожалению, на старичках со второй версией Android запустить приложение не получится. Это логично, ведь в настолько старой версии операционки не предоставляется возможность смены экрана блокировки.
Установка Super Locker невероятно проста. Процесс ничем не отличается от установки любого другого блокировщика экрана. Когда этот процесс завершится - вы сможете полюбоваться изменившимся экраном блокировки. В частности, здесь появится виджет, отображающий время и погоду. В настройках вы можете выбрать степень его загруженности. Например, он может отображать не только миниатюру с видом облачности и осадков, но и уровень влажности, силу ветра, а также время восхода и захода солнца. Данные о погоде берутся из сервиса Weather Channel, изменить в этом плане ничего нельзя.
Также на экране блокировки вы найдете иконку приложения «Камера». Как несложно догадаться, это позволяет перейти в него без посещения рабочего стола. В настройках вы можете включить отображение на экране блокировки некоторых других блоков. Самым полезным из них является пункт «Новости». Так вы будете в курсе о самых важных новостях ещё до разблокировки смартфона. Но на какие-то подробные заметки не рассчитывайте - на локскрине помещаются лишь заголовки новостей.
Как уже было сказано, данная программа распространяется бесплатно. Но при этом она располагает таким функционалом, которому позавидовали бы многие платные блокировщики. Самой главной особенностью Super Locker является оптимизация смартфона. Получается, что вы одновременно получаете в своё распоряжение и оптимизатор, и блокировщик! Приложение постарается убить так называемые холостые фоновые утилиты, которые совершенно зря пожирают оперативную память, а следовательно и энергию. В результате аппарат начинает работать заметно быстрее.
Функция оптимизации пригодится обладателям бюджетных смартфонов, оснащенных старенькой версией операционной системы.
К сожалению, в оптимизации нет никакого смысла, если вы используете флагман или даже какой-нибудь смартфон из средней ценовой категории. Samsung и многие другие компании уже научились наделять свои творения аналогичной возможностью, когда приложения совсем выгружаются из памяти, если вы их не запускали три-четыре дня.
Другая полезная функция Super Locker - это ускорение зарядки. Если вы произвели оптимизацию, то зарядка после этого пойдет в ускоренном темпе. Но здесь тоже всё зависит от используемого смартфона. На одних устройствах время зарядки сокращается примерно на 20%, тогда как на других прирост составляет только 5-6%.
А вот доступ к центру управления получат владельцы абсолютно всех смартфонов. Если раньше перейти в этот центр можно было только с рабочего стола, то теперь получить соответствующий доступ можно и на экране блокировки. Здесь можно отключить передачу данных по мобильным сетям, настроить яркость подсветки экрана, задействовать Wi-Fi или режим полета, а также совершить прочие полезные действия.
Интересно, что в данном центре присутствуют даже фонарик и калькулятор. Нужно ли говорить, что именно для поиска этих функций чаще всего совсем не хочется тратить время на разблокировку?
Подведение итогов
На этом наш рассказ о приложении Super Locker можно заканчивать. Таков полный функционал этого блокировщика. Звезд с неба он не хватает и космические корабли туда же он не отправляет. Но полезные «фишки» вроде оптимизации девайса и ускорения зарядки определенно найдут отклик в сердцах владельцев простейших смартфонов. Нельзя забывать и о центре управления, благодаря которому можно без разблокировки аппарата включить фонарик или отключить поиск сетей Wi-Fi.
Эксперты компании McAfee, специализирующейся на антивирусном программном обеспечении, обнаружили новый . Он называется LeakerLocker и в настоящее время распространяется через магазин Google Play внутри приложений. Как сообщает McAfee, это вредоносное ПО вымогает платеж, чтобы злоумышленник не распространил конфиденциальную информацию пользователя-жертвы. К счастью, эксперты компании уже проанализировали LeakerLocker и рассказали, что это за вирус и как не попасться в ловушку мошенников.
Команда McAfee определила вирус-вымогатель LeakerLocker как Android/Ransom.LeakerLocker.A!Pkg. Угрозу этого вредоноса представляют две программы в Google Play - «Wallpapers Blur HD» и «Booster & Cleaner Pro». Некоторые пользователи заметили и пожаловались в отзывах, почему они запрашивают нерелевантные разрешения. Например, доступ к звонкам, чтению и отправке SMS, доступ к контактам и так далее. Количество установок Wallpapers Blur HD и Booster & Cleaner Pro уже находится на уровне от 5 до 10 тыс.
Чтобы понимать как работает LeakerLocker, сотрудники McAfee рассказали принцип работы этого трояна. При первом запуске вредоносная программа отображает типичные функции. В случае с Wallpapers Blur HD это обои, тогда как у Booster & Cleaner Pro - очевидно, различные ускорители для Android. Из-за характера такого рода приложений пользователи могут быть склонны разрешать доступ к практически любому разрешению, поэтому вирус добирается до устройства. После завершения загрузки процесс com.robocleansoft.boostvsclean.receivers.BoorReceiver инициирует некий AlarmManager, который вместе с другими условиями запускает вредоносную активность com.robocleansoft.boostvsclean.AdActivity. Затем начинаются основные действия вируса-вымогателя LeakerLocker: он блокирует домашний экран и получает доступ к частной информации жертвы в фоновом режиме благодаря разрешению пользователя.
По информации McAfee, LeakerLocker не использует эксплоиты или низкоуровневые программные трюки, но может удаленно загружать код.dex с сервера управления, чтобы функциональность трояна была непредсказуемой, расширенной или деактивированной (на случай избежания от обнаружения в определенных средах). Что касается личных данных, то LeakerLocker может получить доступ не ко всему, но к большей части. McAfee сообщает, что троян может прочитать адрес электронной почты, случайные контакты, историю браузера, некоторые текстовые сообщения и вызовы, а также выбрать фотографию с камеры и просмотреть информацию об устройстве.
Компания Google уже оповещена о вирусе-вымогателе LeakerLocker, поэтому в ближайшее время он будет уничтожен силами поискового гиганта и McAfee. Эксперты антивирусной компании не советуют пользователям зараженных устройств платить выкуп мошенникам, поскольку это только поспособствует распространению данного вредоносного ПО.