27.07.14. Эксперты из «Лаборатории Касперского» сообщили об обнаружении нового семейства вредоносного ПО, использующегося для вымогательства. Троян Onion (авторское название - CTB-Locker) является одним из самых сложных шифровальщиков и обладает характеристиками, позволяющими назвать его оригинальной разработкой.
При создании вредоноса его авторы использовали как уже известные техники (требование выкупа в Bitcoin), так и совершенно новые, нетипичные для подобного ПО. Особенностью Onion является то, что C&C-сервер скрыт в сети Tor, что намного усложняет обнаружение злоумышленников.
Расшифровка файлов, зашифрованных вредоносом, невозможна даже при перехвате трафика между ним и сервером из-за необычной криптографической схемы. Кроме того, он сжимает файлы перед тем, как их зашифровать, что также нетипично для программ-вымогателей.
Схема работы трояна типична для ПО, использующегося в вымогательских целях. Попав на систему, он копирует себя в <CommonAppdata> (CSIDL_COMMON_APPDATA) и добавляет запуск этого файла в «Планировщик задач» (Task Scheduler). Осуществляет поиск на всех несъемных, съемных и сетевых дисках файлов по списку расширений, а затем шифрует их. После этого пользователь получает уведомление с требованием выкупа и списком зашифрованных файлов.
Примечательно, что Onion устанавливает на рабочий стол жертвы изображение AllFilesAreLocked.bmp.
05.02.15. В комментариях к посту у народа возникают вопрос о том, возможно ли расшифровать зашифрованную вирусом информацию. Понятно (во всяком случае, мне), что сделать это невозможно. И вот сегодня мне попадается любопытная информация с форума Dr.Web, которая не то, чтобы что-то для меня меняет, но представляет собою все же дельные советы, с которыми можно ознакомиться по ссылке http://fetisovvs.blogspot.com/2015/02/blog-post_5.html
Источник: сайт Security Lab (http://www.securitylab.ru)
Еще по теме:
- Вирус зашифровал файлы на компьютере в расширение .xtbl. http://fetisovvs.blogspot.com/2015/05/xtbl.html
- Эксперт представила спасательный набор инструментов для жертв вымогательского ПО. http://fetisovvs.blogspot.com/2015/05/blog-post_22.html
- "Лаборатория Касперского" бесплатно предоставила пользователям ключи шифрования вымогательского ПО CoinVault. http://fetisovvs.blogspot.com/2015/04/coinvault.html
- CryptoPrevent защита Windows от заражения трояном-вымогателем CryptoLocker. http://fetisovvs.blogspot.com/2014/06/cryptoprevent-windows-cryptolocker.html
- Опасный троянец-шифровальщик распространяется в виде скринсейвера. http://fetisovvs.blogspot.com/2015/01/blog-post_61.html
- Вредоносные программы все чаще прячутся в сети Tor. http://fetisovvs.blogspot.com/2014/07/tor_99.html
- Удаление CTB-Locker http://fetisovvs.blogspot.com/2015/01/ctb-locker.html
- Зашифрованы файлы. Что делать? http://fetisovvs.blogspot.com/2015/02/blog-post_5.html
- Практическое руководство по основам компьютерной безопасности. http://fetisovvs.blogspot.ru/2015/01/blog-post_67.html
Здравствуйте, помогите пожалуйста. Мои файлы были зашифрованы с CTB-Locker /Onion/.Kak я могу расшифровать файлы без уплаты bitcoint?
ОтветитьУдалитьПопробуйте http://www.remove-pcvirus.com/ru/udalit-ctb-locker/ Думаю, должно пройти. А вообще создайте загрузочный диск или флешку с Dr.Web. Как это сделать я описывал в статье Восстанавливаем систему с Live-накопителей/ Ее можно прочитать по ссылке http://www.kv.by/content/321020-vosstanavlivaem-sistemu-s-live-nakopitelei
ОтветитьУдалитьЗдравствуйте! На днях и со мной произошла эта беда - десятки тысяч фалов зашифрованы. Есть реальные способы восстановить файлы? Чтоб не выходить на вымогателей.. Или можно забыть об утерянных файлах? Спасибо за ответ!
ОтветитьУдалитьУвы, но ничего хорошего сказать вам не могу: пока я еще не встречал дешифровальщика этой заразы. Как уничтожить CTB-Locker, я писал выше в комментариях, да и в самом посте добавил ссылку на пост про избавление от трояна.
ОтветитьУдалитьhttp://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information#restore
ОтветитьУдалить