Uwaga na CTB-Locker

Fundacja Bezpieczna Cyberprzestrzeń

wirusCo to jest CTB-Locker?

CTB-Locker to zagrożenie typu ransomware, o którym ostrzegają firmy badawcze, zajmujące się bezpieczeństwem teleinformatycznym. Firmy ostrzegają o wzmożonej działalności tego zagrożenia w ostatnim czasie, również w Polsce. Złośliwe oprogramowanie CTB-Locker działa w podobny sposób jak znany już CryptoLocker – szyfruje pliki użytkownika znajdujące się na komputerze, a następnie żąda okupu w Bitcoinach. 

Złośliwe oprogramowanie CTB-Locker oznaczane jest przez ESET jako Win32/FileCoder.DA. Infekcja zaczyna się w momencie, gdy ofiara otworzy załącznik przypominający fakturę otrzymany w wiadomości e-mail. Plik zawiera konia trojańskiego Win32/TrojanDownloader.Elenoocka., który próbuje pobrać kolejne złośliwe oprogramowanie – w tym przypadku CTB-Locker. Po uruchomieniu na urządzeniu ofiary zagrożenie szyfruje poszczególne pliki ze zdjęciami, filmami czy pliki programu Microsoft Word, a następnie wyświetla komunikat z żądaniem okupu. Jeśli ofiara chce przywrócić dostęp do zaszyfrowanych plików, musi zapłacić ok. 8 Bitcoinów, czyli równowartość ok. 6000 złotych.

Screen Shot 2015-02-02 at 09.22.21

Oba zagrożenia, CTB-Locker oraz Cryptolocker, szyfrują pliki na urządzeniu ofiary, jednak różnią się w zakresie wykorzystywanego algorytmu szyfrowania. Warto zwrócić uwagę na skutki, jakie może przynieść ze sobą ta infekcja – zarówno użytkownicy domowi, jak i duże przedsiębiorstwa, jeśli nie utworzyły kopii zapasowej swoich plików, mogą być zmuszone zapłacić tysiące dolarów, by odzyskać swoje dane – mówi  Kamil Sadkowski, z ESET.

Czy ransomware to nowość?

Ransomware to zagrożenie, które istnieje już od dziesięciu lat. Pierwsze wersje pojawiły się już w 2005 roku w Rosji. Od tego czasu, rozprzestrzeniło się na całym świecie i zostało opracowanych jego wiele różnych wersji. Również w ubiegłym roku, mieliśmy do czynienia ze szczególnie paskudną wersją szkodnika o nazwie „Cryptolocker.”

Zaobserwowaliśmy również „przeskok” zagrożenia z PC do Androida.

Co się dzieje z ransomware teraz?

W ciągu ostatnich dwóch miesięcy, badacze wielu firm odnotowują ponowny wzrost zagrożenia na komputery PC choć w 2014 roku zagrożenie wydawało się zmniejszyć. Badacze ESET i Trend Micro mówią o wzroście ataków złośliwe oprogramowanie Critroni lub Curve-Tor-Bitcoin (CTB) Locker. Trend Micro informuje o powrocie w grudniu w Europie szczególnie paskudnej i skutecznej formy szkodnika o nazwie „Reveton”, również zagrożeniu typu Cryptolocker i w Australii, nowy wariant szkodnika o nazwie „Torrentlocker”.

Film przedstawiający działanie  TorrentLockera

 

Co należy zrobić z zagrożeniem?

Fakt, że ransomware powraca nie dziwi. Spadek zagrożenia zaobserwowaliśmy po tym jak w lutym 2013 r. została aresztowana kluczowa postać stojąca za rozprzestrzenianiem szkodnika „Reveton” co doprowadziło do spadku szkodnika jako aktywnego zagrożenia. W czerwcu 2014 r. po zdjęciu CryptoLockera przez międzynarodowe agencje ścigania zakłócono również jego dystrybucję na całym świecie. Więc oczywiste było, że była to tylko kwestia czasu, zanim ktoś podejmie ponownie dystrybucję zagrożenia.

Ransomware nie zniknie w najbliższym czasie to pewne, co najwyżej możemy się raczej spodziewać skutecznego rozprzestrzeniania się na inne platformy, takie jak Android.

Cóż, nasza rada – zachować ostrożność! Tradycyjnie możemy powtórzyć – nie otwieraj załączników pochodzących z nieznanych źródeł, aktualizuj oprogramowanie, rób kopie zapasowe… 

 

Źródło:
ESET,
Trend Micro: http://blog.trendmicro.com/ransomware-returns-with-a-vengeance/?linkId=12044104

 

Podobne artykuły:

Ransomware Urausy – nowe stare zagrożenie!

„GameOver” ZeuS i CryptoLocker. „Operacja Tovar” 

 

Share Button