[vc_row][vc_column width=”1/1″][vc_column_text]Spis Treści

[/vc_column_text][dt_gap height=”50″][/vc_column][/vc_row][vc_row margin_top=”0″ margin_bottom=”0″ padding_left=”0″ padding_right=”0″ bg_position=”top” bg_repeat=”no-repeat” bg_cover=”false” bg_attachment=”false” padding_top=”0″ padding_bottom=”0″ parallax_speed=”0.1″ bg_type=”bg_color” bg_grad=”background: -webkit-gradient(linear, left top, left bottom, color-stop(0%, #E3E3E3));background: -moz-linear-gradient(top,#E3E3E3 0%);background: -webkit-linear-gradient(top,#E3E3E3 0%);background: -o-linear-gradient(top,#E3E3E3 0%);background: -ms-linear-gradient(top,#E3E3E3 0%);background: linear-gradient(top,#E3E3E3 0%);” bg_color_value=”#000000″ parallax_style=”vcpb-default” bg_image_repeat=”repeat” bg_image_size=”cover” bg_img_attach=”scroll” parallax_sense=”30″ animation_direction=”left-animation” animation_repeat=”repeat” bg_override=”full” parallax_content_sense=”30″ fadeout_start_effect=”30″ overlay_pattern_opacity=”80″ multi_color_overlay_opacity=”0.6″ seperator_type=”none_seperator” seperator_position=”top_seperator” seperator_shape_size=”40″ seperator_svg_height=”60″ seperator_shape_background=”#ffffff” seperator_shape_border=”none” seperator_shape_border_width=”1″ icon_type=”no_icon” icon_size=”32″ icon_style=”none” icon_color_border=”#333333″ icon_border_size=”1″ icon_border_radius=”500″ icon_border_spacing=”50″ img_width=”48″ ult_hide_row_large_screen=”off” ult_hide_row_desktop=”off” ult_hide_row_tablet=”off” ult_hide_row_tablet_small=”off” ult_hide_row_mobile=”off” ult_hide_row_mobile_large=”off”][vc_column width=”1/1″][dt_gap height=”15″][bsf-info-box icon_type=”selector” icon=”Defaults-warning-sign” img_width=”48″ icon_size=”32″ icon_color=”#eeee22″ icon_style=”none” icon_color_bg=”#ffffff” icon_color_border=”#333333″ icon_border_size=”1″ icon_border_radius=”500″ icon_border_spacing=”50″ title=”Uwaga!” read_more=”none” read_text=”Read More” hover_effect=”style_1″ pos=”default” title_font_style=”font-weight:bold;” title_font_color=”#ffffff”]Wpis ma charakter czysto informacyjny, nie ponosimy odpowiedzialności za utratę danych korzystając z tej strony i informacji tutaj zawartych!

Jeżeli jesteś zainteresowany płatną, profesjonalną pomocą w sprawie CTB Locker, zapraszamy do współpracy (nasz serwis znajduję się w mieście Łódź).

Jeżeli twoje dane nie są warte pieniędzy i chcesz po prostu spróbować odzyskać swoje pliki – zapraszamy do dyskusji pod wpisem – postaram się pomóc bezpłatnie :).[/bsf-info-box][dt_gap height=”15″][/vc_column][/vc_row][vc_row][vc_column width=”1/1″][dt_gap height=”30″][vc_column_text]
[dt_gap height=”60″ /]

Co to jest CTB Locker lub Critroni?

[/vc_column_text][vc_column_text]CTB Locker (Curve-Tor-Bitcoin Locker), znany również jako Critroni, infekuję pliki za pomocą szyfrowania, został wydany w połowie lipca 2014. Na celu ma wszystkie wersje systemu Windows (XP, Vista, 7. 8). Podobnie jak inne tego typu zagrożenia, jest to kolejny CryptoLocker, wydaje się, że zostały opracowany przez kolejne grupy przy użyciu nowych technologii, takich jak kryptografii eliptycznej krzywej i złośliwego oprogramowania komunikującego się z serwerem przez sieć TOR. Jak odkryli Kafeine, szkodnik ten wydaje się również być częścią zestawu który jest sprzedawany w sieci za 3.000 dolarów USD. (..)

Kiedy po raz pierwszy twój system zostaje zainfekowany, CTB Locker skanuje komputer w poszukiwaniu plików oraz danych i szyfruję ję tak, że nie są już dostępne. W przeszłości każdy plik, który został zaszyfrowany miałby jej rozszerzenie pliku zmieniona na CTB lub CTB2. Obecna wersja dodaje teraz losowy rozszerzenie pliku do zaszyfrowanych plików. Po infekcji otworzy się ekran z żądaniem okupu, które stwierdza, że dane zostały zaszyfrowane i poprosi, aby postępować zgodnie z instrukcjami na ekranie, aby dowiedzieć się, jak kupić i zapłacić okup w zależności od wersji 0,2 BTC do 100 BTC. [/vc_column_text][/vc_column][/vc_row][vc_row][vc_column width=”1/1″][vc_single_image image=”12070″ alignment=”center” border_color=”grey” img_link_large=”” img_link_target=”_self” title=”Komunikat o infekcji CTB Locker” img_size=”full”][vc_column_text]

Jest to zdjęcie przykładowe, informacja może się różnić w zależności od wersji wirusa.

[/vc_column_text][vc_column_text]Komputer zainfekowany CTB Lockerem, będzie przechowywać swoje pliki w folderze %temp%, z losową nazwą pliku wykonywalnego. Następnie utworzy ukryte o losowej nazwie prace w “Harmonogram zadań” windowsa, który będzie uruchamiać się za każdym razem po zalogowaniu do windowsa. Po zainfekowaniu CTB Locker skanuje dyski w celu zaszyfrowania. Skanuje wszystkie litery dysków na komputerze, w tym dyskach sieciowych, dysków wymiennych i zmapowanych udziałów sieciowych.

CTB Locker wykrywa obsługiwane przez siebie pliki i zaczyna je szyfrować przy użyciu kryptografii eliptycznej krzywej, która jest unikalna dla tego wirsua. Po zakończeniu skanowania przez CTB Locker oraz ich szyfrowania wyświetli się ekran z żądaniem okupu, który zawiera instrukcje dotyczące zapłacenia okupu. Zmieni także tapetę na Dokumenty\AllFilesAreLocked<użytkownik>.bmp, który zawiera dalsze instrukcje jak zapłacić okup. Utworzy również pliki w %MyDocuments%\DecryptAllFiles<id_użytkownika>.txt i %MyDocuments%\<przypadkowy-ciąg>.html, które również zawierają instrukcje dotyczące dostępu do strony złośliwego oprogramowania w celu zapłacenia okupu. Więcej informacji o miejscu okupu zostaną omówione w dalszej części przewodnika.

Za każdym razem podczas ponownego urochomienia komputera, CTB Locker kopiuje się do nowej nazwy do folderu %temp%, a następnie utworzyć nową pracę harmonogram zadań, aby uruchomić go na login. W związku z tym, nie będzie trudno znaleźć wiele kopii tego samego pliku wykonywalnego pod różnymi nazwami znajdujących się w folderze %temp%.[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column width=”1/1″][vc_column_text]
[dt_gap height=”60″ /]

Co to są te nowe rozszerzenia takie jak CTBL lub CTB2, które są dodawane do zaszyfrowanych plików?

[/vc_column_text][vc_column_text]Zainfekowanie komputera CTB Locker lub Critroni, wirus szyfruje pliki, a następnie zmienia ich nazwy do nowego rozszerzenia. Starsze wersje CTB-Locker zmieniają rozszerzenie pliku na .CTBL lub .CTB2 (przykład moje-zdjęcie.jpg do moje-zdjęcie.ctbl), podczas gdy nowsze wersje zmieniają rozszeżenie na losowe np .ftedggd lub .ztbwgwd.

W związku z tym, te pliki są po prostu twoimi normalnymi plikami, które zostały zaszyfrowane.
[dt_highlight color=”red”]Nie ma sposobu, aby otworzyć zaszyfrowany plik[/dt_highlight], chyba że najpierw odszyfrowując płacąc okup. Jedynym sposobem, aby odzyskać te pliki to przywrócenie ich za pomocą do odzyskiwania danych lub zapłacić okup.[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column width=”1/1″][vc_column_text]
[dt_gap height=”60″ /]

Co należy zrobić, gdy okazuje komputer jest zainfekowany CTB Locker?

[/vc_column_text][vc_column_text]Jeśli stwierdzisz, że Twój komputer jest zainfekowany CTB Locker należy natychmiast przeskanować komputer antywirusem lub program anty-malware (np. malwarebytes). Niestety, większość ludzi nie zdaje sobie sprawy, że CTB Locker jest na komputerze, dopóki wyświetli żądanie okupu i pliki zostały już dawno zaszyfrowane. Usunięcie wirusa niestety tylko oznacza brak dalszego szyfrowania plików. Nie odzyskuje samych plików.

Aby ręcznie usunąć infekcję trzeba by usunąć wszystkie pliki wykonywalne z folderu %TEMP% i wyczyść ukryte zadanie w Harmonogramie zadań systemu Windows. [/vc_column_text][/vc_column][/vc_row][vc_row][vc_column width=”1/1″][vc_column_text]
[dt_gap height=”60″ /]

Nowy wariant CTB Locker oferuje bezpłatny deszyfrowanie 5 plików.

[/vc_column_text][vc_column_text]Nowy warsja Critroni, znanego również jako CTB Locker, pozwala odszyfrować 5 plików jako dowód, że złośliwe oprogramowanie może przywrócić pliki.
free-decryption-thmb
Po kliknięciu na przycisk “search“, losowo sam wybierze 5 zaszyfrowanych plików, a następnie odszyfrować je dla Ciebie. Odbywa się to w celu udowodnienia, że płacenie okupu rzeczywiście umożliwić Ci odzyskać pliki…[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column width=”1/1”][vc_column_text]
[dt_gap height=”60″ /]

Co się stanie, jeśli nie zapłaci okupu CTB-Locker w wymaganym czasie?

[/vc_column_text][vc_column_text]Po upływie czasu na okup, CTB-Locker wyświetli informacje, że masz 96 godzin do zapłacenia okupu lub stracisz swoje pliki na zawsze.

To jest po prostu blef, wciąż będziesz w stanie zapłacić okup, ale zamiast tego trzeba to zrobić za pośrednictwem ich strony TOR.
Gdy zegar odliczania spadnie do 0, pojawi się ekran ze wskazówkami jak opłacić okup:
time-expired-screen
Po naciśnięciu przycisku Exit, program zostanie zamknięty, oraz usunięty. Usunięty zostanie wyłącznie komunikat i wirus, zaszyfrowane dane zostają!
W tym momencie można otworzyć plik DecryptAllFiles.txt znajdujący się w folderze Dokumenty zawierający instrukcje, jak uzyskać dostęp do witryny deszyfrowania danych CTB-Locker.[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column width=”1/1″][vc_column_text]
[dt_gap height=”60″ /]

Czy jest możliwe odszyfrowanie plików zaszyfrowanych przez CTB Locker innych niż 5 plików testowych?

[/vc_column_text][vc_column_text]Niestety w tej chwili nie ma sposobu, aby odzyskać klucz prywatny, który mógłby być użyty do odszyfrowania plików bez płacenia okupu. Deszyfrowanie jest nierealne ze względu na czas potrzebny do złamania tego typu szyfrowania. Aktualnie nie ma również żadnych narzędzi deszyfrowania do CTB Locker. Istnieją inne narzędzia do deszyfrowania innych tego typu infekcji, jednak z CTB Lockerem nie będą działać.
Jedyne aktualne metody odzyskania danych to:

  • przywrócić pliki z kopii zapasowej (której pewnie nie masz…)
  • wypróbować profesjonalnych programów do odzyskiwania danych, np R-Studio
  • jeśli masz szczęście, przywrócic z “Kopie w tle” aka “Volume Shadow Copy”

[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column width=”1/1″][vc_column_text]
[dt_gap height=”60″ /]

Jak znaleźć pliki, które zostały zaszyfrowane przez CTB Locker

[/vc_column_text][vc_column_text]Aby zobaczyć listę plików zaszyfrowanych przez CTB Locker należy otworzyć %Mydocuments%\.html lub %C:\Użytkownicy\All Users\.html. Plik ten zawiera instrukcje zapłacenia okupu, oraz zawiera również listę plików, które zostały zaszyfrowane.[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column width=”1/1″][vc_column_text]
[dt_gap height=”60″ /]

CTB Locker i udziały sieciowe

[/vc_column_text][vc_column_text]Jeśli pliki zostały zaszyfrowane i nie zamierzamy płacić okupu to istnieje kilka metod, aby spróbować przywrócić pliki.

Metoda 1: Kopie zapasowe

Pierwszym i najlepszym sposobem jest przywrócić dane z ostatniej kopii zapasowej. Jeśli została wykonywana kopia zapasowa, należy użyć kopii zapasowych, aby przywrócić dane.

Metoda 2: Programy do odzyskiwania danych

Wydaje się, że gdy CTB Locker szyfruje plik – najpierw robi kopię, szyfruje kopię, a następnie usuwa oryginał.

Dzięki temu istnieje szansa, że oprogramowanie do odzyskiwania danych, takich jak R-Studio lub PhotoRec może odzyskać niektóre z oryginalnych plików.
Ważne jest, aby pamiętać, że im więcej używasz komputera tym trudniejsze będzie dla programów odzyskiwania danych do odzyskiwania skasowanych plików niezaszyfrowane.

Metoda 3: volume shadow copy – Kopiowanie Woluminów w Tle

W ostateczności, możesz spróbować przywrócić pliki poprzez Kopie Woluminów w tle.

[dt_quote type=”pullquote” layout=”right” font_size=”normal” animation=”none” size=”1″]Niestety, CTB Locker będzie próbował usuwać kopię woluminu na komputerze, jednak czasami tego nie zrobi i można ich używać do przywracania plików.[/dt_quote]


Jak przywrócić pliki zaszyfrowane przez CTB Locker za pomocą kopii w tle woluminu:

  1. Kliknij prawym przyciskiem myszy plik lub folder, a następnie kliknij polecenie Przywróć poprzednie wersje.
  2. Zostanie wyświetlona lista dostępnych poprzednich wersji pliku lub folderu. Lista będzie zawierać pliki zapisane w kopii zapasowej (jeśli kopia zapasowa plików została wykonana za pomocą programu Kopia zapasowa systemu Windows), jak również punkty przywracania, jeśli są dostępne kopie obu typów.
    przywroc pliki ctb locker
    Karta Poprzednie wersje przedstawiająca niektóre poprzednie wersje plików
  3. Przed przywróceniem poprzedniej wersji pliku lub folderu zaznacz poprzednią wersję, a następnie kliknij polecenie Otwórz, aby ją wyświetlić w celu upewnienia się, że jest to właściwa wersja.Uwaga
    Nie można otworzyć ani skopiować poprzednich wersji plików utworzonych przy użyciu programu Kopia zapasowa systemu Windows, ale można je przywrócić.
  4. Aby przywrócić poprzednią wersję, zaznacz ją, a następnie kliknij pozycję Przywróć.
    Ostrzeżenie

Plik lub folder zastąpi bieżącą wersję na komputerze. Tej operacji nie można cofnąć.

Uwaga
Jeśli przycisk Przywróć nie jest dostępny, nie można przywrócić poprzedniej wersji pliku lub folderu w jej pierwotnej lokalizacji. Będzie można ją otworzyć lub zapisać w innej lokalizacji.[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column width=”1/1″][vc_column_text]
[dt_gap height=”60″ /]

Strona wirusa CTB Locker do rozszyfrowania danych

[/vc_column_text][vc_column_text]Twórcy CTB Locker stworzyli stronę internetową TOR, by ofiary mogły korzystać, aby dowiedzieć się, jak zapłacić okup oraz odszyfrować swoje pliki. Linki do tej strony można znaleźć w:

  • %Dokumenty%\AllFilesAreLocked<id_użytkownika>.bmp
  • %Dokumenty%\DecryptAllFiles<id_użytkownika>.txt
  • %Dokumenty%\.html

W tym czasie aktualny adres TOR jest http://zaxseiufetlkwpeu.onion. Po odwiedzeniu witryny można zapłacić okup, wysyłając Bitcoiny na podany adres. Adres bitcoin będzie unikalny dla zainfekowanego komputera i nie będzie wykorzystywany przez innych.

decryption-service-retrieve-key

Gdy płatność jest dokonywana należy zaczekać aż do pełnego potwierdzenia transferu Bitcoin by otrzymać klucz prywatny do rozszyfrowania danych[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column width=”1/1″][vc_column_text]
[dt_gap height=”60″ /]

Czy płacenie okupu faktycznie pozwoli odszyfrować pliki?

[/vc_column_text][vc_column_text]Na tą chwile są małe szanse. Przeglądając różne fora z wypowiedzi tych osób które zdecydowało się na opłacenie okupu wynika, iż nie zawsze to działa.

Będę aktualizował tą stronę na bieżąco jeśli będą potwierdzone przypadki.

Zapraszam pozostawienia komentarza i podzielenia się swoją historią.[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column width=”1/1″][vc_column_text]
[dt_gap height=”60″ /]

Jak uniknąć zakażenia przez CTB Locker

[/vc_column_text][vc_column_text]Najprościej jest zainstalować darmowy program CryptoPrevent

Autorem programu jest FoolishIT LLC, był na tyle uprzejmy, aby utworzyć darmowe narzędzie o nazwie CryptoPrevent które automatycznie dodaje blokadę otwierania plików wykonywalnych w lokalizacjach któtrych używa CTB Locker i inne cryptolockery.

Dzieki temu każdy, kto korzysta z systemu Windows XP SP 2 i wyżej, może zapobiec CTB Locker i cryptolockera przed otwarciem w pierwszej kolejności.

cp733

Możesz pobrać CryptoPrevent z poniższej strony:

Pobierz CryptoPrevent

Po uruchomieniu programu, po prostu wybierz “Default – Set it and forget it” kliknij na przycisk Apply (Zastosuj)

Na tą chwile Cryptoprevent posiada listę 200 lokalizacji gdzie cryptolocker próbuje się uruchomić. Baza ta jest ciągle powiększana.
Darmowa wersja nie posiada “automatycznych aktualizacji” i niestety trzeba co jakiś czas pobierać nową wersje ręcznie.
Za 15$ można wykupić pełną wersje programu z funkcja automatycznej aktualizacji – co gorąco polecam.[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column width=”1/1″][vc_column_text]Nie jestem autorem poradnika. Oryginalny wpis pochodzi z http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information

Zawarty tekst jest tylko przewodnikiem samopomocy. Używaj na własne ryzyko.

serwislodz.pl nie ponosi odpowiedzialności za problemy, które mogą wystąpić przy użyciu informacji tutaj zawartych.[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column width=”1/1″][dt_gap height=”30″][vc_column_text]Zapraszam do dyskusji, postaram się w miarę możliwości pomóc.[/vc_column_text][dt_gap height=”30″][/vc_column][/vc_row]