CTB-blocker, a zsaroló vírus

Zsaroló vírus, azaz 1 CTB hány BTC, ez itt a kérdés!

2015. január 23. - Kádár Gábor

Jött, látott, s győzött a zsaroló vírus.

Kétes győzelmet aratott egy új vírus, mely CTB-locker néven mutatkozik be nekünk, ha bejut a gépünkre. Miért kétes a győzelme? Mert bár e vírus megzsarolt minket, de mi nem fizettünk neki, s cserébe buktuk azokat a képeinket, dokumentumainkat, melyek akár fontosak is lehettek volna. A fontos fájlokról volt biztonsági mentésünk így azokat nem veszítettük el, de mi van azokkal a számítógép tulajdonosokkal, akik nem tárolják biztonságosan képeiket, dokumentumaikat? Ebben a cikkben bemutatok egy valós veszélyt jelentő új vírust, melyet e-mailben küldhetnek számunkra az elszánt kiber-zsarolók.

Így néz ki az e-mail, melyben a vírus érkezik.

ctb-locker_00.jpg

Most biztos jó páran felhördültek: Na én biztosan nem nyitnék meg egy ilyen üzenetet! Nem ismerem a feladót, fura az üzenet szövege, ez csak valami spam lehet.
Az eset áldozatának nem volt ennyire egyértelmű, hogy ez a levél esetleg spam lehet, hiszen gyakran kap idegenektől, akár angol nyelven írt e-maileket, amiben számára értékes információ is érkezhetett. Pár kattintás, a ZIP fájl már ki is van bontva, s megpróbálta megnyitni a benne lévő fájlt, hátha megtudja mi lehet benne.

Első pillantásra úgy tűnt semmi nem történik, tán egy pillanatra felbukkanó ablak megjelent, de mivel ezen túl semmi nem történt, úgy döntött, ez az e-mail nem tartalmaz semmi fontos információt, s törölte az üzenetet. A háttérben persze elindult egy megállíthatatlannak tűnő folyamat.

Végzett a vírus a háttérben a munkával, így itt az idő, hogy zsarolni kezdjen.

Az alábbi programnak a képernyője fogad minket, ami tájékoztat róla hogy a dokumentumaink (txt, xls, doc, pdf), a képeink (jpg, jpeg), adatbázis fájljaink és minden fontos fájlunk titkosítva lett és mindössze 96 órát adnak a váltságdíj megfizetésére.

ctb-locker_01.jpg

Győzött a kíváncsiságom, ha már vírusos a gépünk vizsgálódjunk kicsit.

Elöljáróba azért annyit elmondanék, hogy ilyenkor a gép internet kapcsolatát illik azonnal megszakítani, illetve bontani a kapcsolatát az egyéb hálózati eszközeinkkel!

Ha a View gombra kattintunk, akkor a következő oldalon további instrukciókat kapunk a teendőkről, illetve kilistázza azon fájlok listáját, amelyeket titkosított.

ctb-locker_02.jpg

A titkosított fájlok listája:

Bizony a megosztott hálózati meghajtóra is bejutott a vírusunk, s mivel volt írási jogunk ezen a meghajtón, így ki is használta a helyzetet.
Ilyenkor érdemes elgondolkozni azon, hogy az otthoni gépeink, hiszen egy családban nem ritka a 2-3 gép azonos hálózaton történő használata, a legtöbb esetben a megosztott mappák tartalmát nem csak olvasni, de írni is tudják. Érdemes lehet a megosztásnál csak olvasási jogot adni a másik gép tulajdonosának.

ctb-locker_03.jpg

Ha a Next gombra kattintunk, akkor felajánlják nekünk, hogy tesztelhetjük visszaállítási képességüket.

A fájljaink közül véletlenszerűen kiválasztott 5 db-ot hajlandóak visszaállítani nekünk így demonstrálva a képességüket, hogy valóban vissza tudják állítani fájljainkat.
Természetesen ezt is kipróbáltuk.

ctb-locker_04.jpg

Kicsit zavarba jöhetett a kereső, hiszen a külső hálózati helyeket már nem találta meg, így majdnem 3 percig keresgélt 5 db visszaállítható fájl után.

ctb-locker_05.jpg

Rosszabb volt az esély, mint az 5-ös lottón, hiszen itt több ezer fájlból választottak ki 5 db-ot.

Kiválasztás és visszafejtés előtt:

ctb-locker_06.jpg

Visszafejtés után:

ctb-locker_07.jpg

Eljátszották a bizalmunkat, így nem hittük el első blikkre, hogy tényleg visszaállították e fájljainkat.

Gyors ellenőrzés és kiderült, hogy tényleg visszaállították a kiválasztott 5 db fájlt. Ennek ellenére senkit nem biztatnék a váltságdíj megfizetésére, hiszen nincs arra garancia, hogy az összes fájlunkat valóban visszakaphatjuk, ráadásul igen borsos áron dolgoznak a zsarolóink, de erről kicsit később még beszélünk.

Mint az ellenőrzés után kitűnt, az egyik jpg képet visszakaptuk épségben:

ctb-locker_08.jpg

A fenti képen látható egyébként, hogy a vírus tevékenysége könnyen kiszúrható.

Persze eszükben sincs rejtegetni, hogy mennyi fájltól fosztottak meg minket, hiszen minél nagyobb kárt okoztak, annál nagyobb az esély arra, hogy van aki fizetni fog. A titkosított fájlok saját kiterjesztése után egy 7 betűből álló véletlenszerű karaktersorozatot fűztek, ami minden gépen más és más.

Jöhet a lényeg gondolták a zsarolók, hiszen elérkeztünk a piszkos anyagiakhoz.

Olcsón dolgoznak a zsarolóink gondolhattuk volna elsőre, hiszen mindössze 8 Bitcoin (BTC) az ára a fájljainknak, de ha kicsit jobban utána nézünk az áraknak, akkor kiderül, hogy 1 BTC kb 180 Euro-ba kerül.
Az alábbi képen látható címre kellett volna "postázzuk" a zsarolók által kért összeget, s ha valakinek a zsebében nem lapul ennyi BTC, akkor ellátnak minket tanácsokkal is, hogy hol tudjuk beszerezni azt.

ctb-locker_09.jpg

Tessék-tessék, Bitcoin-t vegyenek!

Na lássuk, hol kapható ez a különleges valuta, amire annyira fáj a foga a zsarolóknak.

ctb-locker_10.jpg

Bár a zsarolók megtippelték az összeget USA dollárban, az egyik oldalon leellenőriztük az aktuális árakat.

Úgy néz ki van némi ingadozás az árakban, mert 8 BTC 3 napja még 1503,77 Euróba került volna, most a cikk írásának idején már 1698,18 Euróba kerülne. Elgondolkodtató, hogy a kereslet megnövekedett e vajon a zsarolók "áldásos" munkájának köszönhetően, s ettől mennek e így fel az árak.. Mindenesetre, ami 450e Ft volt a minap, az ma már több mint 520e Ft-ba kerülne.

ctb-locker_11.jpg


Biztos sokakat érdekel, hogy mi történik ha lejár az idő, amit a váltságdíj megfizetésére adtak.

Mi is kíváncsiak voltunk, így kivártuk azt a bizonyos 96 órát, s ez a képernyő fogadott.

ctb-locker_12.jpg

Elveszítettünk mindent, sohasem kaphatjuk vissza már a fájljainkat, s hasonló szörnyűségek.

Bizony így jár a zsarolók szerint aki nem fizet időben. Na jó, azért nehogy lecsússzanak némi potya pénzről, az utolsó esély lehetőségét még felkínálják nekünk, amiről egy txt fájlban tájékoztatnak minket.

Na de ez a cikk eddig még csak a problémát tárta fel, bemutatott egy új vírust, ami ellen látszólag tehetetlenek vagyunk. Most bizonyára sokakban felmerül a kérdés, hogy mit lehet tenni ellene, mi a megoldás.
Következő cikkünkben ezzel foglalkozunk majd.

 

A bejegyzés trackback címe:

https://zsarolo-virus.blog.hu/api/trackback/id/tr637096367

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Simi_simi 2015.01.25. 02:20:34

A WebrootSecureAnywhere progival az eredeti állományaidat visszakaphattad volna...
...feltéve, ha már futott a gépeden, amikor bekopogtatott a zsaroló.

lutria 2015.01.25. 03:49:57

Azért az érdekes hogy a zsarolók magától értetődőnek veszik hogy aki bekap egy ilyen vírust az
-olyan szinten tudja ezt a 4 nyelvet hogy pontosan megérti mi történt és mit kell tennie,
-ért a számítástechnikához annyira hogy végig is tudja csinálni a lépéseket,
-le tudja tölteni a TOR-t,belépni benne ide-oda,
-tudja hogy mi az a Bitcoin és tud váltani is(vagy más esetekben van bankszámlája,olyan netbankja/ bankkártyája amiről bármikor tud utalni-még anélkül is is hogy belépne a bankja weboldalára mert a gép annyira blokkolva van hogy csak a bankkártya számát tudja beírni),
-vagy egyáltalán van 1500-1700eurója amit azonnal ki tud adni stb...

Yamashita 2015.01.25. 07:10:10

Szerintem a zsarolókat egyáltalán nem érdekli tud-e bárki is azokon a nyelveken amin az infót közölték. És ezek még az udvariasabb fajtához taroztak. Találkoztam már olyannal ami csak angolul kommunikált. Viszont érdemes inkább megelőzni mint tűzoltani. Ez a WebrootSecureAnywhere jónak tűnik köszi az infót. Mindenesetre én továbbra is amondó vagyok, hogy inkább használjon mindenki Linuxot és az ilyen jellegű problémák nem fognak előfordulni. Várom a következő részt.

lavór 2015.01.25. 08:31:04

Az első ilyen jelre új Windows telepítés. És a böngészőben blokkolni azt az oldalt, ahonnan érkezett ez a kis meglepetés. De ha van visszaállítási pont, tessék használni. A ghostolás sem tiltott, ha van egy jól működő oprendszerünk félretéve az összes programunkkal, beállításunkkal.

A kettős boot is használható: böngészésre Linux, ha meg a munka win alól megy, át kell csak váltani egy újraindítással.

lavór 2015.01.25. 08:36:37

@lavór:

Ja, ismeretlentől jött emailt és annak csatolmányait nem nyitunk meg...

Traktoros lány 2015.01.25. 10:15:40

Legalább a fizetős, (mondjuk ESET Nod) programok nem találják meg, mielőtt fertőzhetne?

A csótány is ember 2015.01.25. 10:20:47

Hát, csatolmány esetén (ami nem kép vagy ilyesmi, hogy automatán megjelenjen) én mindig azt javaslom, hogy győződjünk meg, nem kamu. Pl ha valaki rendszeresen küld nekem dokumentumokat akkor az nem lesz feltűnő, ha egy újabbat küld feltéve, hogy a mail szövege is az ő stílusában íródott. De ha akár a feladó, a csatolmány, vagy a mail szövege fura, szokásostól eltérő akkor már jobb rákérdezni (ha ismerjük az illetőt) mielőtt a csatolmányt nyitogatja az ember. Ismert feladó esetén, a vírusok általában nem fognak az illető stílusában írni, talán ezt a legkönnyebb észrevenni.
De a legnagyobb probléma, hogy az átlagember ennyire nem fog erre figyelni, akinél rutin annak jó, a többségnél meg nem lesz az. Mindenesetre jópofa a zsarolós vírus, ilyenkor az ember örülne, ha a btc-t követni tudnák de pont az a lényege, hogy ne lehessen.. :)

bontottcsirke 2015.01.25. 10:44:59

Hát igen, aki winfost használ...

mayree 2015.01.25. 12:13:32

Létezett ilyesmi már a '80-as években is. akkor írtak rá dekódoló progit, gondolom ez ma már nem járható út, annyit fejlődött a titkosítás.
A megoldás roppant egyszerű, ha az ember tisztában van azzal a ténnyel, hogy számítástechnikában az, ami csak egy példányban létezik olyan, mintha nem is létezne...
Az pedig, hogy az esti backup után lehúzom a külső vinyót, alap, ugye kedves tv néző gyerekek? :D

Nyugee 2015.01.25. 14:06:47

Mikor jön a következő cikk?

Az igazi Trebics 2015.01.25. 14:55:50

@lavór:
Minden ellenkezõ híresztelés ellenére a Linux népszerûsége ma még messze a Windows-é mögött kullog, és ezért a vírusírók figyelmét kevésbé vonja magára ez az operációs rendszer. Ez annak ellenére igaz, hogy csaknem hetente fedeznek fel új Linux vírusokat. És bár közülük sok hitvány kontármunka, ezek a kísérletek egyre agresszívebbekké válnak, s ami még ennél is sokkal rémisztõbb, közülük sok sikeresen terjed.

www.antivirus.hu/virved/index.php?CN=20.5.1&CIE=0