Κυριακή, 22 Οκτώβριος 2017, 5:52 πμ

Το CTB-Locker ζητάει «λύτρα» – Ανάλυση & οδηγίες προστασίας

ransomware_btc_locker1

Ταχύτατη είναι, πλέον, η διάδοση malware της κατηγορίας ransomware. Οι τελευταίες πληροφορίες που φτάνουν στις Αρχές κάνουν λόγο για ένα μήνυμα ηλεκτρονικού ταχυδρομείου που φαίνεται να περιέχει ένα fax με παραλήπτη τον κάτοχο της διεύθυνσης του ηλεκτρονικού ταχυδρομείου. Φυσικά, το μήνυμα αυτό δεν είναι αυτό που «φαίνεται». Μέσα στο συγκεκριμένο μήνυμα κρύβεται κακόβουλο λογισμικό, που ο κώδικάς του εκτελείται αμέσως μόλις ο παραλήπτης προσπαθήσει να διαβάσει το μήνυμα. Το εν λόγω λογισμικό προχωρά σε κρυπτογράφηση των αρχείων του θύματος και στη συνέχεια εμφανίζει σχετικό μήνυμα απαιτώντας την καταβολή «λύτρων» σε μορφή bitcoins, προκειμένου να μπορέσει ο χρήστης να αποκτήσει ξανά πρόσβαση στα αρχεία του.

 

CTB_ransomware_1

Στην Πολωνία, την Τσεχία και το Μεξικό εμφανίζεται, μάλιστα, ακόμα μια παραλλαγή του CTB Locker Ransomware, χωρίς να αποκλείεται στο άμεσο μέλλον να υπάρξει κίνδυνος εξάπλωσής του και σε άλλες χώρες, συμπεριλαμβανομένης της Ελλάδας. Στο γράφημα που ακολουθεί μπορείτε να δείτε τις χώρες που «μαστίζονται» σε μεγαλύτερο βαθμό.

 

CTB_ransomware_2

 

Η επίθεση ξεκινά με ένα fake email που φτάνει στα εισερχόμενα του χρήστη. Το θέμα του μηνύματος υποδηλώνει ότι ένα έγγραφο fax είναι συνημμένο στο μήνυμα. Από το antivirus της ESET το αρχείο αναγνωρίζεται ως Win32/TrojanDownloader.Elenoocka.A . Ανοίγοντας το επισυναπτόμενο αρχείο, και αν το antivirus που χρησιμοποιείτε δεν το αναγνωρίσει εγκαίρως, στο σύστημά σας θα εγκατασταθεί ένα αρχείο του τύπου Win32/FileCoder.DA : όλα τα αρχεία του συστήματος θα κρυπτογραφηθούν και θα τα χάσετε οριστικά, εκτός κι αν πληρώσετε κάποια «λύτρα» με τη μορφή bitcoins.

 

CTB_ransomware_3

 

Ορισμένες εκδόσεις του Win32/TrojanDownloader.Elenoocka.A συνδέονται σε ένα απομακρυσμένο URL απ’ όπου «κατεβάζουν» ένα αρχείο του τύπου CTB-Locker. Ο τρόπος που λειτουργεί ο συγκεκριμένος τύπος αρχείου μοιάζει πολύ με αυτό του CryptoLocker. H ουσιαστική τους διαφορά είναι ο διαφορετικός αλγόριθμος κρυπτογράφησης που χρησιμοποιείται.

Το αποτέλεσμα μοιάζει με αυτό του CryptoLocker ή του TorrentLocker, όπου αρχεία με καταλήξεις .mp4, .pem, .jpg., .doc, .cer, .db και άλλα κρυπτογραφούνται με ένα κλειδί ώστε να είναι πρακτικά αδύνατο να αποκρυπτογραφηθούν. Μόλις ολοκληρωθεί η κρυπτογράφηση των αρχείων, ο χρήστης βλέπει στην οθόνη του ένα μήνυμα όπως αυτό της εικόνας που ακολουθεί:

 

CTB_ransomware_4

 

Η γλώσσα του μηνύματος προσαρμόζεται αυτόματα, και μέχρι στιγμής περιλαμβάνει αγγλικά, γερμανικά, ιταλικά και γερμανικά. Ελληνικά δεν έχουν αναφερθεί ακόμα, όμως με την ευκολία που προσφέρουν τα προγράμματα αυτόματης μετάφρασης, δε θα πρέπει να μας εκπλήξει κάτι τέτοιο μελλοντικά.

Για να πεισθούν οι χρήστες ότι τα αρχεία τους μπορούν να αποκρυπτογραφηθούν μόλις πληρώσουν τα «λύτρα», οι εγκληματίες έχουν ετοιμάσει ένα demo, όπου ο χρήστης μπορεί να δοκιμάσει να αποκρυπτογραφήσει ένα μικρό αριθμό αρχείων:

 

CTB_ransomware_5

 

CTB_ransomware_6

 

Μετά το demo, ακολουθεί το μήνυμα με τις οδηγίες για το που πρέπει να σταλθούν τα bitcoins (BTC). Κι αν ο χρήστης δεν κατέχει bitcoins, οι εγκληματίες δίνουν οδηγίες για το πώς μπορεί να τα αποκτήσει κάποιος.

 

CTB_ransomware_7

 

Το χαρακτηριστικότερο, βέβαια, είναι ότι η τιμή των «λύτρων» προσαρμόζεται στο νόμισμα της χώρας του χρήστη. Τα 8 Bitcoins για παράδειγμα την 20/1/2015 αντιστοιχούσαν σε περίπου 1.680 δολάρια.

Από άποψη καθαρά τεχνική, το Win32 / TrojanDownloader.Elenoocka.A είναι μια αρκετά «απλή» απειλή. Οι εγκληματίες χρησιμοποιούν κι άλλες παρόμοιες μεθόδους μεταφοράς κακόβουλου λογισμικού, όπου τα επισυναπτόμενα αρχεία έχουν την μορφή invoice_%YEAR_%MONTH_%DAY-1%HOUR_%MIN.scr (παράδειγμα . invoice_2015_01_20-15_33 .scr). Μπροστά από το «invoice» μπορεί να υπάρχουν τυχαίες λέξεις, όπως stride, tiger κ.λπ., δηλαδή το αρχείο να εμφανίζεται ως tiger_invoice_2015_01_20-15_38.scr . Στη συνέχεια, ανοίγει ένα αρχείο RTF χρησιμοποιώντας το Word. Το αρχείο αυτό το συναντάμε μέσα σε ένα αρχείο CAB με την επισήμανση «DATA».

Τρόπος αντιμετώπισης – πρόληψη

Λόγω του ότι είναι εξαιρετικά απίθανο να καταφέρει ένας χρήστης να αποκρυπτογραφήσει τα αρχεία του μετά την «επίθεση» του CTB-Locker, ο καλύτερος τρόπος αντιμετώπισης της απειλής είναι η πρόληψη, τόσο για μεμονωμένους χρήστες, όσο και για εταιρείες:

  • Αναφορικά με mail servers, φροντίστε να ενεργοποιήσετε το φιλτράρισμα με βάση την κατάληξη. Έτσι θα μπορέσετε να μπλοκάρετε κακόβουλα αρχεία με καταλήξεις όπως .scr, όπως στην περίπτωση του Win32 / TrojanDownloader.Elenoocka.A.
  • Μην ανοίγετε επισυναπτόμενα αρχεία σε μηνύματα χρηστών που δεν είστε σίγουροι για την ταυτότητά τους.
  • Διαγράψτε τα μηνύματα ή χαρακτηρίστε τα spam, ώστε να μην κινδυνεύσουν άλλοι εργαζόμενοι της εταιρείας σας από το κακόβουλο λογισμικό.
  • Φροντίστε τα προγράμματα προστασίας που χρησιμοποιείτε να είναι ενημερωμένα.
  • Διατηρείστε backup των αρχείων σας.

Υ.Γ. Για τους πολύ εξειδικευμένους χρήστες, ακολουθούν τα hash values των «ύποπτων» αρχείων που αναφέρθηκαν νωρίτερα.

  • 81F68349B12F22BEB8D4CF50EA54D854EAA39C89 Win32/FileCoder.DA
  • 0D4B6401EB5F89FF3A2CF7262872F6B3D903B737 Win32/FileCoder.DA
  • 1DA7B3538A1D8B89179E17E91C7061B19932BBC8 Win32/TrojanDownloader.Elenoocka.A
  • FE565E5589D496B838E037E99AA59E931129B7DA Win32/TrojanDownloader.Elenoocka.A
  • 576BCD87B7EC38DE302201EC460DB9C0819B473A Win32/TrojanDownloader.Elenoocka.A

Δείτε επίσης:

Η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος της Ελληνικής Αστυνομίας, ενημερώνει τους πολίτες για την συνεχιζόμενη εμφάνιση και στη χώρα μας, του κακόβουλου λογισμικού «CryptoWall».

Ενημέρωση από τη Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος για το malware «Crypto-Wall»

Το κακόβουλο λογισμικό στοχεύει στην καταβολή χρηματικών ποσών ως «λύτρα», προκειμένου να ξεκλειδωθούν – αποκρυπτογραφηθούν …