CTB Locker как расшифровать файлы - TurboComputer.ru
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд (пока оценок нет)
Загрузка...

CTB Locker как расшифровать файлы

Удаление вируса CTB Locker (Обновленное руководство)

Вирус CTB Locker (также известен под именем “Вымогательское ПО CTB-Locker”) является новейшей вредоносной программой-шифровщиком, начавшей атаковать компьютеры пользователей в середине июля 2014. Эта программа почти идентична вирусу Cryptowall, Cryptolocker, Cryptorbit, Critroni. Если Вы слышали что-либо об этих паразитах, Вам известно, чем занимается вымогательское ПО. Целью таких программ является зашифровка личных файлов пользователей, после чего людям предлагают заплатить некую сумму за восстановление файлов. В основном Вас попросят перевести $120, в некоторых случаях вымогатели CTB Locker требуют $24 или даже меньше. Все платежи Вас попросят сделать в биткоинах. Если Вы подозреваете, что на компьютер попал вирус CTB Locker, Вы наверняка утратили контроль ко многим файлам. В добавок Вам могут показывать предупредительное сообщение с объяснениями о случившемся, в котором Вас попросят заплатить выкуп. В таком случае советуем отсканировать компьютер с помощью надежного антишпионского ПО, таким образом Вы сможете уберечь больше важных файлов. К сожалению, вирус трудно обнаружить пока он не начнет показывать Вам зловещие уведомления о зашифровке файлов и выкупе. Поэтому мы настоятельно рекомендуем установить авторитетное антишпионское ПО, способное отразить атаки вроде этой. Хорошей кандидатурой будет Reimage Reimage Cleaner .

ОБНОВЛЕНИЕ: CTB-Locker был обновлен в начале 2015 года. Теперь вирус требует заплатить 3 биткоина (приблизительно $630), за восстановление зашифрованных файлов. На оплату выкупа Вам дадут короткий отрезок времени (96 часов). На данный момент жертвы вируса могут прочитать предупредительное сообщение на английском, датском, немецком и итальянском языках. Интересно, что новая версия CTB Locker позволяет пользователям выбрать 5 зашифрованных файлов для демонстрации процесса расшифровки. Разработчики называют это “Пробная Расшифровка”, а цель этой хитрости — убедить пользователей в реальности восстановления зашифрованных файлов. Все же НЕ СТОИТ платить выкуп, если не хотите кормить мошенников. Просто отсканируйте компьютер с помощью надежного антишпионского ПО и скачайте одну из программ из списка внизу. Эти приложения должны восстановить доступ к заблокированным файлам.

Как CTB Locker может попасть на мой компьютер?

В основном CTB Locker распространяется с помощью электронных писем. Обычно в таких сообщениях говорится о каких-то покупках, платежах и банковских делах. Если Вы нажмете на прикрепление в одном из таких писем, на Ваш компьютер проникнет вымогательское ПО. Кроме всего прочего будьте предельно осторожны по отношению ко всплывающей рекламе, предлагающей обновить Java или Flash Player, так как это часто приводит к заражению CTB Locker. После проникновения в систему вирус расставит свои файлы на компьютере, после чего начнет шифровать личные файлы таких форматов:(3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, eps, erf, indd, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps, xlk, xls, xlsb, xlsm, xlsx, etc.). Файлы шифруют с помощью криптографического метода под названием “метод элиптической кривой”. Также этот вирус может обмениваться информацией с другими вредоносными программами с помощью сети TOR. Если Вы пользователь Windows XP, Windows Vista, Windows 7 and 8, будьте предельно внимательны, вирус может попасть в любую из вышеперечисленных операционных систем. Если Вы считаете, что Ваш компьютер заражен, а файлы зашифрованы, советуем открыть файл %MyDocuments%.html. К сожалению, Вам не удастся возобновить все перечисленные там файлы без оплаты выкупа разработчикам вируса CTB Locker.

Как удалить вирус CTB Locker?

Если Вы подозреваете, что вирус CTB Locker уже проник в систему, воспользуйтесь нижеуказанными инструкциями по удалению для устранения паразита.
Всегда легче предотвратить что-либо, чем с этим бороться. Поэтому мы настоятельно рекомендуем обзавестись авторитетной антивирусной программой. Если же Вы хотите уберечь важные файлы от такого рода инцидентов, советуем делать их резервные копии (как можно чаще). Копии важных файлов рекомендуется хранить на внешних USB-носителях, CD, DVD-дисках или в облачных хранилищах вроде Google Drive, Dropbox, Flickr и т.д. Также не забудьте удостовериться, что Вы открыли доступ к важным файлам в облачном хранилище только нужным пользователям.

Шифровальщики – вымогатели

Шифровальщик (вирус-шантажист). Защита от программ-шифровальщиков. Как удалить вирус-шифровальщик?
Шифровальщики — это вредоносные программы, которые шифруют файлы и требуют выкуп за их расшифровку.
Данный сайт — это ПЕРВОИСТОЧНИК и СБОРНИК информации о шифровальщиках и всевозможных вымогателях.
Авторские статьи, инструкции для пострадавших, рекомендации по защите и профилактике угрозы Ransomware.

четверг, 25 февраля 2016 г.

CTB-Locker WEB

CTB-Locker WEB

CTB-Locker для веб-сайтов

(шифровальщик-вымогатель)

Этот крипто-вымогатель атакует серверы, на которых расположены веб-сайты клиентов, шифрует их содержимое с помощью AES-256, а потом требует выкуп 0.4 биткоина за доступ к ключу дешифровки. По истечении времени, отведённого на уплату выкупа, эта сумма удваивается до 0.8 биткоина.

Читайте также:  Как изменить тип файла в Windows 7

© Генеалогия: CTB-Locker > CTB-Locker WEB

Этимология названия:
Аббревиатура CTB в названии означает Curve Tor Bitcoin.

Активность этой веб-версии крипто-вымогателя пришлась на февраль-март 2016.

Операторы этого шифровальщика взламывают уязвимые серверы, на которых размещены веб-сайты, и подменяют файл index.php или index.html. Новый index.php используется для шифрования данных на сайте ключом AES-256, а также для отображения новой домашней страницы, на которой сообщается, что случилось с файлами и как заплатить выкуп.

$63), а также от 0,8 BTC до 0,3 BTC (

$125) за просроченные платежи.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ.
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА.
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА.
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА.
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ.
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION.
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG.
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION.
Votre nouveau commentaire sera modéré. Ne répétez pas le, s’il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO.
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE.
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT .
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें .
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন .
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN.
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin .
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의.
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

CTB Locker как расшифровать файлы

Недавно в сети наткнулся на новый вирус CTB-LOCKER. CTB-LOCKER – это модифицированный вирус из семейства давно известных FileCoder и вымогателей Win32/Virlock . Шифровальщик CTB‑locker аналогичен известному вирусу CryptoLocker, но отличается алгоритмами шифрования.

Данный вирус распространяется в основном по электроной почте, на почту приходит письмо с прикрепленным файлом или архивом который заражон вирусом. Распаковав архив на всех ваших логических и сетевых дисках будут зашифрованы все документы MS Office, текстовые файлы,базы данных 1С, архивы и картинки. Вирус CTB-LOCKER добавит ко всем выше перечисленным файлам своё расширение – .emunlpd

После того как CTB‑locker завершит процесс шифрования всех файлов с расширениями mp4, .pem, .jpg, .doc, .cer, .db он заменит обои рабочего стола на свои с сообщением следующего содержания:

Your personal files are encrypted by CTB-locker

Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer.

Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key.

If you see the main locker window, follow the instructions on the locker. Otherwise, it’s seems that you or your antivirus deleted the locker program.

Now you have the last chance to decrypt your files.

Open http://[edited].onion.cab or http://[edited].tor2web.org in your browser. They are public gates to the secret server.

If you have problems with gates, use direct connection:

1. Download Tor Browser from http://torproject.org

2. In the Tor Browser open the http://[edited].onion/
Note that this server is available via Tor Browser only.
Retry in 1 hour if site is not reachable.

Copy and paste the following public key in the input form on server. Avoid missprints.
XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX
XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX
XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX

Читайте также:  Как отформатировать флешку без потери файлов

Follow the instructions on the server.

Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы с сильным ключом шифрования и уникальный ключ, сгенерирован персонально для этого компьютера.

Закрытый ключ дешифрования хранится на секретном сервере в сети Интернет, и никто не может расшифровать файлы, пока вы заплатите и получить секретный ключ.

Если вы видите главное окно блокировщика, следуйте инструкциям на блокировщике. В противном случае, это кажется, что вы или ваш антивирус удалил программу шкафчика.

Теперь у вас есть последний шанс, чтобы расшифровать файлы.

Открыть http://[edited].onion.cab или http://[edited].tor2web.org в вашем браузере. Они являются входом на секретный сервер.

Если у вас возникли проблемы со входом, используйте прямую связь:

1. Скачать Tor Browser из http://torproject.org

2. В Диспетчере Tor открыть http://[edited].onion/
Обратите внимание, что этот сервер доступен только через Tor Browser.
Повторите в течение 1 часа, если сайт не доступен.

Скопируйте и вставьте следующий открытый ключ в форме ввода на сервере. Избегайте missprints.
XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX
XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX
XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX

Зайдя на сайт по инструкции, мы увидели, что вирус CTB-Locker за расшифровку файлов требует 1, 5 биткоина (электронная валюта которую невозможно отследить), что примерно равняется 800$. На этом этапе мы решили прекратить эксперименты по этой причине не можем вам сказать точно будут ли расшифрованы файлы после оплаты как обещает вымогатель или нет.

На официальном блоге компании антивируса Касперский, представитель компании пишет, что расшифровать файлы зашифрованные алгоритмом вируса не имея ключа сейчас не предоставляется возможным и предложил для быстрого решения проблемы — просто заплатить вымогателям.

Как защитить свой компьютер от вируса шифровальщика CTB-LOCKER?

  • не открывайте сообщения от незнакомых вам адресатов
  • не распаковывайте вложенные архивы в письмах авторов которых вы не знаете
  • удаляйте подозрительные письма.

Решение проблемы вируса шифровальщика CTB-LOCKER

Удаление самого вируса или его скрипта не составляет труда – по старинке, перезагрузите компьютер в безопасном режиме и удалите вирус. Вирус то удалится, но файлы так и останутся зашифрованными и последующие прогоны разными антивирусами результатов не дадут.

Единственный возможный вариант решения проблемы с зашифрованными файлами — это восстановление данных из архивной копии. Если у вас её нет то прийдется или платить вымогателям или ждать пока антивирусные системы что-то придумают.

Если вам известны другие варианты делитесь ими в комментариях

CTB-Locker — новая модификация трояна-шифровальщика FileCoder

Мы уже несколько раз писали про различные семейства троянов-шифровальщиков. Речь идет о модификациях семейства вредоносных программ FileCoder, а также вымогателе Win32/Virlock. Несколько дней назад наша антивирусная лаборатория начала получать сообщения о вредоносной кампании, направленной на пользователей Латинской Америки и Восточной Европы. Фишинговые сообщения электронной почты содержали информацию о «прибывшем факсе». Вложения таких сообщений содержали вредоносное ПО, которое специализируется на шифровании файлов пользователя и требовании выкупа за расшифровку в биткоинах.

Пример такого вредоносного сообщения показан ниже на скриншоте.

В этом посте мы рассмотрим вредоносную кампанию по распространению этой вредоносной программы, которая получила распространение в Польше, Чехии, Мексике и многих других странах.

Как мы упоминали выше, основным вектором распространения CTB-Locker является фишинговое сообщение электронной почты. Вредоносный исполняемый файл, который находится во вложении к письму обнаруживается AV-продуктами ESET как Win32/TrojanDownloader.Elenoocka.A. Этот загрузчик (или даунлоадер) скачивает на компьютер пользователя упоминаемую выше модификацию FileCoder (CTB-Locker). Эта модификация обнаруживается как Win32/FileCoder.DA. После запуска этой вредоносной программы файла на диске подвергаются шифрованию.

Сам CTB‑locker похож на другой известный шифровальщик под названием CryptoLocker. Отличие между ними состоит в использовании различных алгоритмов шифрования файлов. Результат деятельности CTB‑locker аналогичен CryptoLocker или TorrentLocker, т. е. приводит к шифрованию файлов с расширениями mp4, .pem, .jpg, .doc, .cer, .db. После того, как операция шифрования файлов будет завершена, вредоносная программа отображает предупреждающее сообщение пользователю. Для этой цели CTB‑locker может персонализировать рабочий стол пользователя, т. е. поменять там обои на нижеследующие.

Вымогатель поддерживает отображение текста на разных языках, включая, немецкий, голландский, итальянский, английский. В списке поддерживаемых языков отсутствует испанский, хотя мы наблюдали заражения этой вредоносной программой и в тех странах, для которых этот язык является основным.

CTB-Locker отличает тот факт, что злоумышленники используют специальный метод для убеждения пользователя оплатить выкуп. Они демонстрируют ему, что произойдет после его оплаты, т. е. убеждают пользователя в том, что его не обманут и расшифруют файлы.

После этого пользователю будет продемонстрировано каким образом образом он сможет расшифровать файлы и на какой счет ему нужно будет перевести биткоины для этого.

Как видно выше на скриншоте, CTB-Locker может демонстрировать курс обмена биткоинов исходя из той валюты, которая соответствует расположению заблокированного компьютера. На момент снятия скриншота восемь биткоинов стояли $1680.

С технической точки зрения, сам даунлоадер вымогателя, который обнаруживается как Win32/TrojanDownloader.Elenoocka.A, представляет из себя довольно небольшую по размерам и простую с технической точки зрения вредоносную программу. Мы наблюдали использование этого даунлоадера злоумышленниками и в других вредоносных кампаниях. В одной из этих кампаний использовались фишинговые сообщения электронной почты, к которым прилагались вредоносные файлы с названиями invoice_%YEAR_%MONTH_%DAY-1%HOUR_%MIN.scr (напр. invoice_2015_01_20-15_33 .scr). Для маскировки своего запуска в системе, исполняемый файл содержит у себя в ресурсах фальшивый документ Word, который будет показан пользователю в фоне исполнения вредоносного файла.

Читайте также:  Как изменить формат файла в Windows 7

Вредоносное ПО CTB-Locker относится к тому типу вымогателей, после деятельности которого невозможно расшифровать файлы без ключа, полученного от злоумышленников. Как мы уже неоднократно подчеркивали, использование резервного копирования является основным методом, который может использоваться для восстановления данных после деятельности такого вредоносного ПО, кроме этого своевременное обновление антивирусных баз также является необходимой мерой для предотвращения заражения.

Как удалить CTB-Locker и расшифровывать файлы .ctb

Что такое CTB-Locker

CTB-Locker или же Critroni очень широкое распространение и опасный вирус вымогателей. Он использует шифрование RSA-2048 для шифрования различных типов файлов, хранящихся на компьютерах пользователей (документы, изображений, фото, музыки, видео). Тогда CTB-Locker требует выкуп $120 – $300 и показывает сообщение на рабочем столе: “Ваши личные файлы зашифрованы с помощью CTB-Locker”. Вымогатели также создают текстовый файл с инструкциями DecryptAllFiles.txt в каждой затронутой папке. Сам вирус достаточно просто удалить, Однако мы рекомендуем использовать инструмент для удаления. Дешифрование .ctb файлов является очень сложной задачей, так как не существует инструмент расшифровки, разработанный антивирусных компаний еще. Тем не менее, мы рекомендуем вам использовать инструкции ниже, чтобы удалить CTB-Locker и расшифровать .ctb или .ctb2 файлы.

Как CTB-Locker заражен ваш компьютер

CTB-Locker использует поддельные электронные письма уведомления UPS с вредоносными вложениями заражают пользователей компьютеров. Приложения, как правило, выполнены в виде документа MS Office. Когда пользователь пытается просмотреть документ, он запрашивает у пользователя, чтобы включить макросы. После включения макросов загружает вирус исполняемый файл и запускает его. Этот процесс начинается шифрование файлов. Это делает вирус трудно обнаружить для антивирусных программ. После этого вымогателей изменяет рабочий стол, используя AllFilesAreLocked.bmp изображения, который содержит инструкции и ссылки на дешифрования услуги.

Скачать CTB-Locker Removal Tool

Чтобы удалить CTB-Locker полностью мы рекомендуем Вам использовать SpyHunter 5 от EnigmaSoft Limited. Он обнаруживает и удаляет все файлы, папки и ключи реестра из CTB-Locker.

Альтернативные удаления

В качестве хорошей бесплатной альтернативы для удаления использования CTB-Locker Malwarebytes Anti-Malware. Он будет определять основные файлы и процессы CTB-Locker вымогателей и устранить их, чтобы позволить вам начать дешифрование файлов.

Как удалить CTB-Locker вручную

Не рекомендуется удалять CTB-Locker вручную, для более безопасного решения используйте вместо этого инструменты для удаления.

CTB-Locker файлы:

%Temp%.exe
%MyDocuments%AllFilesAreLocked.bmp
%MyDocuments%DecryptAllFiles.txt
%MyDocuments%.html
%WinDir%Tasks.job

Ключи рег CTB-Locker:

HKEY_CURRENT_USERControl PanelDesktop “Wallpaper” = “%MyDocuments%AllFilesAreLocked.bmp”

Как расшифровать и восстановить файлы .ctb

Используйте автоматизированные расшифровщики

Вымогатели дешифратор из Касперского может быть полезным в этом случае. Это бесплатно и простой в использовании. Скачать Kaspersky вымогателей Decryptor здесь:

Нет никакого смысла платить выкуп, потому что нет никакой гарантии, что вы получите ключ, но вы поставите свои банковские данные под угрозу.

Если вы заражены CTB-Locker вымогателей и удалить его со своего компьютера вы можете попытаться расшифровать файлы. Антивирусные вендоры и отдельные специалисты создают бесплатные расшифровщики для некоторых крипто-блокировщиков. Однако, Есть в настоящее время нет автоматического инструмента для расшифровки файлов .ctb. Для того, чтобы попытаться удалить их, вы можете сделать следующее:

Использование функции “Предыдущие версии файлов” в Windows:

  1. Щелкните правой кнопкой мыши на зараженный файл и выберите Свойства.
  2. Выберите Предыдущие версии вкладкой.
  3. Выберите конкретную версию файла и нажмите Копировать.
  4. Для того, чтобы восстановить выбранный файл и заменить существующий, нажмите на Восстановить кнопку.
  5. Если в списке нет элементов, выберите альтернативный метод.

Использование Shadow Explorer:

  1. Скачайте Shadow Explorer программу.
  2. Запустите его, и вы увидите список всех дисков, и даты, когда каждая теневая копия была создана.
  3. Выберите диск и дату восстановления с которой вы хотите это сделать.
  4. Щелкните правой кнопкой мыши на папку и выберите Экспортировать.
  5. В случае, если нет других дат в списке, выберите альтернативный метод.

Если вы используете Dropbox:

  1. Войдите на сайт DropBox и перейдите в папку, которая содержит зашифрованные файлы.
  2. Щелкните правой кнопкой мыши на зашифрованном файле и выберите Предыдущие версии.
  3. Выберите версию файла, который вы хотите восстановить, и нажмите Восстановить кнопку.

Как защитить компьютер от вирусов, таких как CTB-Locker в будущем

Использование Malwarebytes Anti-Вымогатели Beta

Известный анти-вредоносная поставщика Malwarebytes наряду с EasySync Solutions, созданным инструментом, который поможет вам с активным анти-вымогатели защиты в качестве дополнительного экрана для текущей защиты.

Используйте HitmanPro.Alert с CryptoGuard

Ссылка на основную публикацию
Adblock
detector