Situatie
Cryptolocker si CTB Locker (Curve-Tor-Bitcoin Locker) reprezinta o forma de malware care solicita plata unei rascumparari ce utilizeaza mecanisme de criptare si stoarcere de bani. Fisierele sunt criptate folosind o pereche de chei RSA pe 2048 de biti generata aleatoriu, care este asociata cu calculatorul infectat. Cheia publica este copiata pe calculatorul infectat, iar cheia privata poate fi obtinuta facand plata in intervalul de timp alocat. In cazul in care plata nu este efectuata, cheia privata va fi stearsa si nu va exista nicio metoda de decriptare a fisierelor blocate.
Simptome
Amenintarile de tip Cryptolocker si CTB Locker se raspandesc foarte repede prin intermediul serviciului de tip web sau e-mail. E-mail-urile infectate prezinta urmatoarele caracteristici:
– contin atasamente in format .zip, .rar sau .cab, cu denumiri variate, in care se afla un fisier infectat cu extensia .scr sau .exe;
– fisierul .scr sau .exe are icoana asemanatoare cu cea a documentelor Word sau PDF;
– pot fi trimise de la adrese de email cunoscute de utilizator;
– majoritatea mesajelor sunt trimise de pe domeniul aol.com;
– pot contine link-uri catre site-uri de unde va recomanda descarcarea asa-ziselor “facturi” sau “faxuri”.
Backup
Infectia Cryptolocker poate fi limitata sau prevenita cu ajutorul catorva dintre cele mai bune practici:
– folositi o solutie antivirus care este actualizata in mod constant si poate efectua scanarea activa;
– programati backup-uri de fisiere astfel incat datele sa fie recuperate in cazul in care acestea devin corupte;
– evitati sa vizitati site-uri nesigure, sa dati click pe link-uri sau sa deschideti atasamente ale unor e-mail-uri cu sursa necunoscuta;
– asigurati-va ca nu furnizati informatii care va pot identifica personal pe chat-uri publice sau forum-uri;
– implementati / activati optiunile de blocare a anunturilor si filtrele anti-spam;
– virtualizati sau dezactivati complet functia Flash deoarece a fost folosita in mod repetat ca vector de infectie.
Solutie
Pasi de urmat
In cazul infectarii cu Cryptolocker sau CTB-Locker pe ecran va aparea o interfata de notificare ca in imaginea de mai jos:
Acest mesaj este setat sa apara dupa ce fisierele din calculator au fost scanate si criptate partial. Fisierele afectate sunt: documente de tip office, fisiere media si uneori baze de date. Ca si recomandare, pentru a opri cat mai repede procesul de criptare opriti fortat calculatorul (intrerupeti alimentare acestuia).
Conectati hard-disk-ul afectat de Cryptolocker la un calculator neconectat in retea si care are instalat o solutie antivirus profesionala si actualizata la zi. Kaspersky Internet Security sau Bitdefender Endpoint Security sunt solutii antivirus care vor recunoaste si vor izola urmele lasate de Cryptolocker si CTB Locker. Scanati complet hard-disk-ul atasat. Eliminati orice infectie detectata.
Dupa devirusare conectati inapoi hard-disk-ul la calculator si rulati sistemul in Safe Mode pentru verificari suplimentare. Deschideti regedit.exe (ca administrator) si stergeti inregistrarile din urmatoarele locatii (daca exista):
HKEY_CURENT_USER -> Software -> CryptoLocker
HKEY_CURENT_USER -> Software -> CryptoLocker_0388
HKEY_CURENT_USER -> Software -> Microsoft -> Windows -> CurrentVersion -> Run
HKEY_CURENT_USER -> Software -> Microsoft -> Windows -> CurrentVersion -> RunOnce
Din Windows Explorer afisati extensiile fisierelor si faceti vizibile folderele si fisierele ascunse, precum si cele protejate de sistem. Accesati calea “C: -> Users -> profil_utilizator -> AppData -> Local” si “C: -> Users -> profil_utilizator -> AppData -> Roaming”. Cautati si stergeti orice fisier cu denumire ciudata avand extensia .exe. Spre exemplu: crypto242.exe. De obicei executabilele folosite de CryptoLocker si alte tipuri de infectii nu au un inteles in denumirea lor. Dupa ce ati terminat aceasta etapa, reporniti calculatorul.
Suplimentar, descarcati si instalati Malwarebytes. Actualizati baza de semnaturi si rulati scanare completa. Dupa finalizarea scanarii inlaturati din interfata acestuia infectiile gasite. Reporniti din nou calculatorul.
Leave A Comment?