CBT Locker ransomware of hoe geëncrypteerde bestanden te decrypteren

 

CTB Locker

CTB Locker ransomware (die soms ook onder de naam Critoni schuil gaat) werd voor het eerst opgemerkt in juli 2014. Het virus probeert verscheidene bestanden te encrypteren (versleutelen) en vraagt voor een afkoopsom om het terug te decrypteren. Zowat alle versies van Windows (waaronder Windows XP, Windows Vista, Windows 7, en Windows 8) kunnen aangevallen worden door deze ransomware. Het exclusieve kenmerk van deze malware is dat het communiceert met de Command en Control server via TOR. Een interessant weetje – iedereen kan CTB Locker online kopen voor ongeveer $3.000. Voor dat geld krijgt u een basis kit en volledige ondersteuning van de makers van CTB Locker (CBT Locker) voor het opstellen ervan. Dit betekent dat vele versies van dit programma met een verschillend uiterlijk te vinden zijn.

Alle bestanden die zijn versleuteld door Critoni, worden omgezet naar het CTBL formaat en het is niet mogelijk ze te openen. Eens geïnstalleerd, zal deze ransomware uw computer scannen om te onderzoeken welke bestanden u er op hebt staan. Dan encrypteert het een groot aantal van deze bestanden (niet altijd ze allemaal). Wat daarna gebeurt, is een groot venster dat op uw scherm wordt weergegeven. Het ziet eruit zoals de afbeelding hieronder. Het zal u melden dat uw persoonlijke bestanden versleuteld zijn. Als u ze terug wilt, zal u een afkoopsom moeten betalen van $120. Betalingen worden gedaan via het Bitcoin betalingssysteem.
CTB

Als uw computer is geïnfecteerd door Critori, vindt u normaal gezien een map met een willekeurige naam in de %Temp% map in uw computer. Deze malware zal lanceren elke keer u inlogt in uw computer. CTB Locker gebruikt elliptische curve cryptografie om de bestanden van gebruikers te encrypteren. Dit is een zeer unieke manier om dat te doen. Eens CTB Locker (CBT Locker) klaar is met het scannen van uw systeem en het encrypteren van uw bestanden, zal u een bericht te zien krijgen met de instructies voor het betalen van de afkoopsom. Daarenboven zal uw achtergrond aangepast worden naar het %MyDocuments%AllFilesAreLocked .bmp bestand, waar u ook gedetailleerde informatie zal vinden voor het betalen van het geld. Andere bestanden zullen ook gecreëerd worden en toegankelijk zijn voor de gebruiker – %MyDocuments%DecryptAllFiles <user_id>.txt en %MyDocuments%.html. Daar zal u de benodigde informatie vinden om naar de officiële website van de malware te gaan en de betaling te voltooien. Omdat contact via Command en Control server wordt uitgevoerd enkel in TOR en niet het internet, is het ingewikkeld voor onderzoekers om deze ransomware op te sporen. Maar het is niet onmogelijk. U moet ook weten dat CTB Locker zichzelf zal kopiëren met nieuwe en willekeurige namen in %Temp% elke keer u uw computer opstart. Het is dus mogelijk dat u een groot aantal vreemd uitziende bestanden hebt staan op die plaats.

Wanneer u zich realiseert dat uw computer is geïnfecteerd door Citroni, is het scannen van uw systeem met betrouwbare anti-malware zoals Spyhunter of malwarebytes een goed plan. Hoe sneller, hoe beter. Het is moeilijk om deze kwaadaardige applicatie aan te treffen in uw systeem vooraleer u het scherm hebt gezien met het bericht dat uw bestanden zijn geëncrypteerd. Dus het is een goed idee uw computer nu en dan te scannen om dit te voorkomen. Maar als uw bestanden al zijn geëncrypteerd, kan u nog steeds uw pc scannen en ten minste de infectie verwijderen zodat geen nieuwe bestanden nog worden gecreëerd elke keer u Windows opstart. In het geval dat u dit manueel wil uitvoeren, zal u alle uitvoerbare bestanden moeten verwijderen uit de %Temp% map en de verborgen taak in Windows Takenplanner moeten verwijderen. Merk op dat dit enkel het virus zal verwijderen en geen enkel versleuteld bestand zal gedecrypteerd worden. Momenteel is er nog geen methode gekend voor het decrypteren van bestanden die werden geëncrypteerd door CTB Locker. Er zijn al vele programma’s gecreëerd voor het decrypteren van versleutelde bestanden van andere malware, maar ze zijn nog niet in staat de versleutelde bestanden van CTB Locker te openen. Er zijn enkel 2 manieren om deze bestanden terug te krijgen – ofwel betaalt u de afkoopsom, ofwel brengt u uw bestanden terug vanop een reservekopie. Open het %MyDocuments%.html bestand om te zien welke bestanden werden versleuteld en dus opnieuw moeten worden geplaatst.

Het bericht van CTB Locker ziet er zo uit:

Uw persoonlijke bestanden werden geëncrypteerd.%f0%%c0%

Uw documenten, foto’s, databases en andere belangrijke bestanden werden versleuteld met de strengste encryptie en unieke sleutel, gegenereerd voor deze computer.

Private decryptiesleutel is opgeslagen op een geheime Internet server en niemand kan uw bestanden decrypteren tot u betaalt en de private sleutel verkrijgt.

Als u het hoofdscherm ziet van de locker, volg dan de instructies op de locker. Anders ziet het ernaar uit dat u of uw antivirus het lockerprogramma heeft verwijderd. Dit is uw laatste kans voor het decrypteren van uw bestanden.

  1. Typ het adres %c1%http://torproject.org%c0% in uw Internet browser. Het opent de Tor site.
  2. Klik op ‘Download Tor’, en klik op ‘DOWNLOAD Tor Browser Bundle’, installeer het en voer het uit.
  3. Nu hebt u Tor Browser. In de Tor Browser open %c1%http://%onion%/%c0%.

Merk op dat de server enkel beschikbaar is via Tor Browser.

Probeer opnieuw na 1 uur als de site niet bereikbaar is.

  1. Schrijf de volgende publieke code in de invoerbar op de server. Voorkom typfouten.

%f1%%c1%%key%%f0%%c0%

  1. Volg de instructies op de server.

Deze instructies werden ook opgeslagen in het bestand genaamd DecryptAllFiles.txt in de Documenten-map. U kan het openen en de “kopiëren-plakken”-methode gebruiken voor het adres van de sleutel.

Hoe geëncrypteerde bestanden te decrypteren

Zoals we al eerder hebben gemeld, is er geen mogelijkheid om bestanden (geëncrypteerd door CTB Locker) te decrypteren. Als u de afkoopsom niet gaat betalen aan de cybercriminelen, kan u uw bestanden terugplaatsen vanaf een reservekopie. Daarvoor bestaan verschillende manieren.

De beste manier is het simpelweg opnieuw instellen van alle systeeminstellingen en het terugplaatsen van de instellingen van een Windows back-up. Maar het is enkel mogelijk als u op voorhand een back-up hebt ingesteld. Als u dit niet hebt gedaan, zal u uw systeem niet kunnen herinstellen. Zelfs wanneer u een valide herstelbestand hebt. Het kan onmogelijk zijn om verloren bestanden terug te krijgen, als de bestanden zich bevonden in mappen waarvan Windows geen back-up maakte (u kan dit instellen in de instellingen).

De volgende methode kan ook redelijk effectief zijn. CTB Locker encrypteert uw bestanden niet alleen – het maakt er een kopie van, encrypteert het en verwijdert het originele bestand. Om deze reden kan u bepaalde software gebruiken om verloren bestanden terug te plaatsen. Bijvoorbeeld R-Studio of Photorec kan deze taak uitvoeren. Als u zich afvraagt waarom niet wordt aangeraden lang te wachten nadat CTB Locker in uw systeem terecht komt, is het doordat hoe langer u wacht, hoe moeilijker het zal worden voor deze programma’s om de verwijderde en niet-versleutelde bestanden terug te krijgen.

Schaduw Volume Kopieën

Indien u de optie voor het opnieuw instellen van Windows gebruikt in uw besturingssysteem, is er een kans om “shadow copy snapshots” te gebruiken. Ze slaan kopieën op van uw bestanden wanneer een “system restore snapshot” wordt gemaakt. CTB Locker probeert doorgaans alle mogelijke schaduwkopieën van volumes te verwijderen, maar soms slaagt het hier niet in. Het is belangrijk te vermelden dat deze soort kopieën beschikbaar zijn in Windows XP Service Pack 2, Windows Vista, Windows 7, en Windows 8. Er zijn 2 manieren om uw bestanden terug te krijgen via deze methode. U kan dit doen door middel van de standaard ”Windows Vorige Versies” of via Shadow Explorer.
native Windows Previous Versions

Windows Vorige Versies

Rechts-klik op een geëncrypteerd bestand en selecteer Eigenschappen->Vorige versies tabblad. Nu zal u alle beschikbare kopieën zien van dat bestand en de tijd wanneer het werd opgeslagen in een schaduwkopie. Kies gewoon de versie van het bestand dat u wil terughalen, en klik op Kopieer als u het in dezelfde map wil opslaan. Of klik op Herstel als u het huidige geëncrypteerde bestand wil vervangen. Als u eerst de inhoud van het bestand wil bekijken, klikt u gewoon op Open.
ShadowExplorer

Shadow Explorer

Het is een gratis programma dat u online kan vinden. U kan een volledige of draagbare versie van Shadow Explorer downloaden. Open het programma en in de linkerbovenhoek selecteert u de schijf waar een bestand is opgeslagen waar u naar op zoek bent. Daarna zal u alle mappen te zien krijgen op die schijf. Om een gehele map terug te plaatsen, klikt u er met de rechtermuisknop op en selecteert u de optie “Export”/”Exporteer”. Kies dan waar u de map wil opslaan.

Hoe bestanden die werden geëncrypteerd, terug te plaatsen in DropBox

Als u normaal gezien uw bestanden opslaat in DropBox (meest bekende, web gebaseerde dienst voor het bewaren van bestanden) en deze zijn ook geëncrypteerd, kan u de tip hieronder gebruiken.
dropbox

Om geëncrypteerde bestanden terug te krijgen van DropBox, log dan gewoon in op uw account op de DropBox-website. Navigeer naar de folder waar het bestand dat u terug wil, is opgeslagen. Klik met de rechtermuisknop op het bestand en selecteer de Vorige versies optie. Nu zal u alle mogelijke vorige versies van het bestand te zien krijgen (net zoals met schaduwkopieën). Selecteer de gewenste versie en klik op de Herstel knop.

 

 
 
 

5 gedachten over “CBT Locker ransomware of hoe geëncrypteerde bestanden te decrypteren

  1. Not Real
     

    Waarom hebben jullie het over betalen van de afkoopsom?
    Ieder persoon die in de ICT beveiliging zit weet dat je nooit moet betalen omdat het anders lucratief blijft voor de schrijvers.
    Daarnaast zijn er verschillende scenario’s waarin zelfs na betaling er geen decryptie werd gedaan.

     
  2. layek
     

    Never pay this scum.

    Just remove it.

    The removal part is the hardest, us AVG and a rootkit that will work.

    The files
    Look at the infected files they have something like

    xxxx.jpg.ffhhhggg

    Just do this rename to original file
    rename xxxx.jpg.ffhhhggg xxxx.jpg.
    I still doesn’t work but :

    Choose properties , Version and Restore an older version it works again (Windows 7)

    I you are lazy , click the folder which contains the infected files
    and restore an old version of the folder.

    You now have 2 copies ot files , the infected one an the original. Just delete
    the infected files. Do the same thing witch docs.
    This does’nt work for files in the root directory. I am woking on that one.

    Regards Layek

     
    1. Rob
       

      Layek,

      I am infected with the virus.. CTB and I can’ t open my files anymore. 🙁 Do you have already and solution?

       
      1. giedrius
         
         
        Bericht auteur

        Zoals voor nu, zijn er geen bekende oplossingen voor het ophalen van uw bestanden

         
  3. Mick
     

    @layek
    I had one pc on wich only changing back the extention was enough to get the photo’s back.

     

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *