CTB-LOCKER  (Alerta Máxima de Seguridad)

Una nueva variante de este virus pone de rodillas a muchos administradores de sistemas además de usuarios domésticos . En un  país como Venezuela donde la cultura sobre la seguridad en la  información NO ES IMPORTANTE PARA LA MAYORÍA DE LOS USUARIOS.  Se están presentando casos  de computadoras infectadas con este mortal virus. Si  caes..¡¡  es porque no estas informado. (Comparte el artículo, para que pocos pierdan su información)

INFORMACIÓN DETALLADA DE ESTE VIRUS Y VÍDEO EXPLICATIVO.

 

 

¿Cómo llega CTB-Locker al sistema?

CTB-Locker es un ransomware que tiene una alta tasa de propagación en Latinoamérica y se propaga a través de una campaña de spam con supuestos mensajes de fax o adjuntos con información falsa. En casos recientes de Argentina se propaga en un archivo ZIP que contiene un archivo .SCR con el mismo nombre. El archivo EXE o SCR es un troyano del tipo Downloader que se conecta a alguno de los siguientes sitios para descargar el ransomware real:

  • breteau-photographe.com (213.186.33.150)
  • voigt-its.de (188.93.8.7)
  • maisondessources.com (213.186.33.19)
  • jbmsystem.fr (213.186.33.3)
  • pleiade.asso.fr (213.186.33.19)
  • scolapedia.org (213.186.33.19)

Luego de la descarga, el sistema ya está infectado con CTB-Locker. Este procede a buscar todos los archivos de datos y los cifra para que ya no sean accesibles por el usuario. En el pasado los archivos cifrados cambiaban su extensión a “.CTBL” o “.CTB2” pero en la versión actual se agrega una extensión aleatoria a cada archivo cifrado. Finalmente, se reemplaza la imagen del escritorio de Windows con información para el rescate de los archivos, para lo cual se pide que se sigan las instrucciones en pantalla, para aprender a comprar bitcoins y pagar el rescate. Este monto de rescate es equivalente a 8 BTC o sea U$S 3.100 a la cotización actual.

ctb-locker

Cuando se realiza la infección, en esta versión, el malware almacena en la carpeta %Temp% con un nombre aleatorio. Luego crea una tarea (con nombre al azar) oculta en la lista de tareas y que ejecuta el malware cada vez que inicia la sesión. Una vez infectado, CTB explora las unidades del sistema en busca de archivos de datos y los cifra. El malware escanea todas las letras las unidades, incluyendo unidades locales, extraíbles y recursos compartidos de red. En resumen, si hay una letra de unidad en al computadora, la misma se analizará e infectará.

Cuando CTB detecta un archivo de datos, lo cifra utilizando criptografía de curva elíptica, siendo el único ransomware que lo hace hasta el momento. Cuando el malware ha terminado de escanear y cifrar todas las unidades, mostrará la pantalla de rescate que incluye instrucciones sobre cómo pagar el rescate. Para esto cambia el fondo del escritorio por una imagen BMP alojada en%MyDocuments%\AllFilesAreLocked.bmp, que contiene las instrucciones. Finalmente también crea los archivos %MyDocuments%\DecryptAllFiles.txt y %MyDocuments%\.html con las mismas instrucciones. 

 

La nueva variante de CTB-Locker ofrece gratis el descifrado de 5 archivos.

CTB-Locker ahora proporciona la capacidad de descifrar los 5 archivos como “prueba de vida” de que los desarrolladores de malware pueden restaurar los archivos. En la pantalla principal de descifrado se pueden descifrar hasta 5 archivos de hasta 1MB de tamaño.

 

 

Ahora, el primer paso que debes llevar a cabo cuando detectes que tu computadora está infectada con Citroni  – es escanear tu sistema con un anti-malware confiable como por ejemplo Spyhunter o malwarebytes. Mientras más pronto hagas esto mejor. Es complicado detectar esta aplicación maliciosa en tu computadora, hasta que aparece el mensaje en la pantalla, diciendo que tus archivos están encriptados, así que es recomendable escanear tu computadora cada cierto tiempo para evitar que esto suceda. Sin embargo, si todos tus archivos están encriptados, aun puedes realizar el escaneo de tu PC y por lo menos eliminar las infecciones para evitar que se generen nuevos archivos cada vez que inicies Windows. En caso de que quieras realizar esto manualmente, tienes que eliminar todos los archivos ejecutables de la carpeta %Temp% y eliminar las tareas ocultas del calendario de tareas de Windows. Toma en cuenta que esto solo eliminará el virus, pero no lo desencriptará los archivos que ya están encriptados. Hasta el momento no hay un método conocido para desencriptar los archivos afectados por CTB Locker. Hay diversas herramientas elaboradas para desencriptar archivos de otros malware, pero no son capaces de desencriptar los archivos afectados por CTB Locker. Solo hay dos manseras para recuperar tus archivos – ya sea pagando la cuota o restablecer los archivos desde algún respaldo. Abre el archivo  %MyDocuments%.html para saber cuáles son os archivos encriptados que tiene que restaurarse.

TAMBIEN PUEDE
Configuren sus antispam para bloquear adjuntos .CAB   (*.CAB contenedor que incluye un exe)

 

El mensaje mostrad por CTB locker menciona lo siguiente:

 

Tus archivos personales están encriptados .%f0%%c0%

Tus documentos, fotos, bases de datos y otros archivos importantes han sido encriptados con un método fuerte de encriptación y se generó una clave única para esta computadora.

La clave para desencriptar está almacenada en un servidor secreto en internet y nadie puede desencriptar tus archivos hasta que pagues y obtengas la clave privada.

 

FUENTES
https://www.google.co.ve/search?q=ctb-locker&oq=CTP-LOKER&aqs=chrome.1.69i57j0l5.6507j0j7&sourceid=chrome&es_sm=122&ie=UTF-8

Leave a Comment