CTB Locker bedragarprogram eller hur man dekrypterar krypterade filer

 

CTB Locker

CTB

CTB Locker (CBT Locker) bedragarprogram (som ibland även går under namnet Critoni) märktes först av Juli 2014. Målet för detta virus är att kryptera olika filer och ber om en lösensumma för att dekryptera dessa. Nästan alla versioner av Windows, inkluderat Windows XP, Windows Vista, Windows 7 samt Windows 8 kan påverkas av detta bedragarprogram. En exklusiv attribut av detta skadeprogram är att den kommunicerar med Command and Control servern över TOR. Intressant fakta – alla kan köpa CTB Locker via internet för runt 3000 USD. För den summan får du ett standard paket och full support från skaparna av CTB Locker och hur man installerar allt korrekt. Det betyder att det finns flera olika versioner av viruset med flera olika utseenden där ute.

Alla krypterade filer av Critoni är i CTBL format och inte tillgängliga för att öppnas. Väl installerat så kommer detta bedragarprogram att genomsöka din dator och hitta de filer du har på datorn och sedan kryptera en stor del av dessa (nödvändigtvis inte alla). Vad som sedan händer är att en stor ruta visas på din skärm. Ser ut som denna (se nedan). Den kommer påpeka att dina personliga filer är krypterade och om du vill ha tillbaka dessa så måste du betala en lösensumma på runt 120 USD. Betalning sker via Bitcoin.

Om din dator är infekterad med Critoni så bör du se en mapp med ett slumpmässigt namn inne i %Temp% mappen på din dator. Detta skadliga program startar varje gång du loggar in på ditt system. CTB Locker (CTB Locker) använder sig av en elliptisk krypteringskurva för att kryptera användarens filer vilket är ett väldigt unikt sätt att göra detta på. När CTB Locker väl genomsökt din dator och krypterat filer så kommer du se ett meddelande med instruktioner om hur du betalar lösensumman. Dessutom kommer din bakgrundbild bli utbyten till %MinaDokument%AllFilesAreLocked.bmp fil, där du ser detaljerad information om hur du betalar lösensumman. Andra filer som också kommer skapas och vara tillgängliga för användaren är %MinaDokument%DecryptAllFiles <användar_id>.txt och %MinaDokument%.html. Där hittar du information om hur du kommer till skadeprogrammets hemsida och kan slutföra betalningen. Eftersom förbindelse med Command and Control Servern körs exeptionellt genom TOR och inte Internet så är det mer komplicerat för laga enheter att hitta detta bedragarprogram. Hursom så är det inte omöjligt. Du bör även veta att varje gång du startar om ditt system så kommer CTB Locker kopiera sig själv med nya och slumpmässiga namn inne i %Temp% så det är möjligt att se tonvis med konstiga filer där inne.

Första stegen nu när du känner till att din dator är infekterad med Citroni bedragarprogram är att genomsöka din dator med ett pålitligt anti-skadeprogram som t.ex SpyHunter eller Malwarebytes. Ju tidigare dessto bättre. Det är väldigt svårt att känna till denna skadliga applikation förän meddelanden visas på din skärm att dina filer har blivit krypterade, så du bör genomsöka din dator lite till och från för att hindra att detta händer. Dock om dina filer nu redan är krypterade så kan du fortfarande genomsöka din dator så du blir av med infektionen så inte den skapar nya filer varje gång du startar om din dator. Om du skulle vilja ta bort detta manuellt så måste du ta bort alla körbara skadliga filer från %Temp% mappen och även ta bort den gömda körbara applikationen i Windows schemaläggare. Notera att detta endast kommer ta bort viruset men inga filer som redan är krypterade kommer dekrypteras. Vid det laget finns det ingen känd metod att att dekryptera filmer krypterade med CTB Locker. Det finns flera verktyg skapade för att dekryptera krypterade filer från andra skadeprogram, men de har inte möjligheten att dekryptera filer från CTB Locker. Det finns bara två sätt att tillhandahålla dina krypterade filer igen, antingen genom att betala lösensumman eller återställa filerna genom en systemåterställning. Öppna %MinaDokument%.html filen och ta reda på vilka filer som har blivit krypterade och måste återställas.

Meddelandet från CTB Locker ser ut så här:

Dina personliga filer har krypterats.%f0%%c0%

Dina dokument, foton, databas och andra viktiga filer har krypterats med den starkaste krypteringen och en unik nyckel har skapats för denna dator.

Privat dekryptering är lagrad på en hemlig internetserver och ingen kan dekryptera din filer förän du betalat och fått den privata nyckeln.

Om du ser huvudlåsta fönstret, följ instruktionerna från denna låsning. Annars så verkar det som ditt antivirus har raderat låsningsprogrammet. Nu har du en sista möjlighet att dekryptera dina filer.

  1. Skriv in addressen %c1%http://torproject.org%c0% i sökfältet på din sökmotor. Det kommer öppna TOR sidan.
  2. Tryck på ”ladda ned TOR”, tryck sedan på ”ladda ned TOR sökmotor paketet”, installera och kör denna.
  3. Nu har du TOR sökmotor. I TOR sökmotorn så öppna %c1%http://%onion%/%c0%.

Notera att denna server är endast tillgänglig hos TOR sökmotor.

Försök igen inom en timme om sidan inte är tillgänglig.

  1. Skriv in följande offentliga nyckel i inmatningsformuläret på servern. Undvik stavningsfel.

%f1%%c1%%key%%f0%%c0%

  1. Följ instruktionerna på servern.

Dessa instruktioner är även sparade under namnet DecryptAllFiles.txt i Mina Dokument mappen. Du kan öppna denna och använda det i kopiera/ klistra in syfte för addressen samt nyckeln.

Hur man dekrypterar krypterade filer

Som vi redan nämnt så finns det ingen möjlighet att dekryptera krypterade filer från CTB Locker. Om du inte tänker betala lösensumman för dessa kriminella inom internetvärlden så kan du återställa systemet via en systemåterställning. Det finns flera sätt att lyckas med detta.

Bästa sättet är helt enkelt att göra en total återställning av systeminställningarna från Windows systemåterställning. Dock är detta endast möjligt om du har sparat en säkerhetskopiering tidigare. Om du inte har gjort detta förr så kan du inte göra en systemåterställning. Även om du har en legitim återställningsfil så kan det vara omöjligt att återskapa förlorade filer om stället där dessa filer är lagrade inte är täckta av Windows säkerhetskopiering (du kan välja detta under inställningar).
native Windows Previous Versions

Denna metod är ganska effektiv dessutom. CTB Locker krypterar inte bara dina filer utan gör även en kopiering av dessa, krypterar dom och tar bort originalen. Av denna orsak så kan du använda specifika program för att återställa förlorade filer. T.ex. kan R-Studio eller Photorec genomföra detta. Om du undrar varför det inte är rekommenderat att vänta länge efter att CTB infekterat ditt system är för att ju längre du väntar desto svårare blir det att skapa återställningsprogram som kan återhämta dina förlorade eller okrypterade filer.

Skuggvolym kopior
ShadowExplorer

Om du inte använder systemåterställningsmetoden via ditt operativsystem så finns det en chans att använda dig av skuggkopieringsfoton. De lagrar kopior av dina filer vid det tillfället skuggkopieringsfotona blev skapade. CTB Locker försöker oftast ta bort alla möjliga skuggvolyms kopior men misslyckas ibland med detta. Det är värt att nämna att Skuggvolymskopiering endast är tillgängligt på Windows XP service pack 2, Windows Vista, Windows 7 samt Windows 8. Det finns två sätt att återfå dina filer via skuggvolymskopiering. Du kan göra detta genom att använda hemmahörande Windows tidigare versioner eller Shadow Explorer.

Hemmahörande Windows tidigare versioner

Högerklicka bara på en krypterad fil och välj egenskaper -> tidigare version länken. Nu kommer du se alla tidigare tillgängliga kopior av den specifika filen som du vill återfå och kan klicka på kopiera om du vill lagra den på en egen vald plats, eller välj återställ om du vill byta ut den aktuella krypterade filen. Vill du se mer innehåll av filen först så klicka på öppna.

Shadow Explorer
dropbox

Detta är ett program som du kan ladda ned från Internet gratis. Du kan antingen ladda ned ned en full eller portabel version av Shadow Explorer. Öppna programmet och i vänstra högre hörnet väljer du enhet där filen du söker ligger. Väl där kommer du sedan se alla mappar på den enheten. För att återfå en hel mapp så högerklicka på den och välj sedan ”exportera” och välj vart du vill att den ska lagras. Det är allt.

Hur man återskapar filer som har blivit krypterade på DropBox

Om du brukade spara dina filer på en DropBox (väldigt vanlig, internetbaserad lagringtjänst av filer) och även dessa har blivit krypterade så finns det ett par tips nedan.

För att återfå krypterade filer på en DropBox så loggar du enkelt in på ditt konto hos DropBox hemsidan. Navigera sedan till mappen vars filer du söker ligger.

Högerklicka på filen och välj en tidigare version som val. Nu kommer du kunna se alla tillgängliga tidigare val av den givna filen (som t.ex. skuggvolymskopieringar). Välj den önskade versionen och klicka på återställ knappen.

 

 
 
 

2 reaktion på “CTB Locker bedragarprogram eller hur man dekrypterar krypterade filer

  1. Tommy Engström
     

    Mina filer har blivit krypterade, mina foton, mina dokument, jag vill fråga Er hur får jag tillbaka dessa, och till vilken kostnad. Och hur säkert är det att jag får tillbaka mina filer.
    Mvh Tommy

     
    1. Giedrius Majauskas
       
       
      Inläggsförfattare

      Hej Tommy, prova att utföra Systemåterställning eller enheten. Här är instruktioner hur man gör det: http://www.malwarerid.se/how-to-do-system-restore/

       

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *