CTB Locker - nuova variante del 27-01-2015 del famigerato virus

[dema86]

Quote:

Originariamente inviato da vascoseigrande

ma attualmente quante testimonianze (reali) ci sono di persone che hanno avuto i file pagando il riscatto? E sopratutto, la procedura è semplice?

In questo topic io ed Inocs abbiamo riportato due casi comprovati in cui si sono recuperati i dati. Sui forum di bleepingcomputer si trovano altri positivi ma anche diversi negativi.
La garanzia non c'è, nel nostro piccolo io e Inocs abbiamo detto che ha funzionato.

La procedura è complicata se non hai mai avuto a che fare con bitcoin, se invece sei già abbastanza esperto della cosa, potrebbe risultarti semplice.

In sé devi acquistare i Bitcoin necessari (fare attenzione ad acquistare qualche frazione di Bitcoin in eccesso rispetto all'importo, di modo da poter pagare la commissione sulla transazione, che purtroppo non è facilmente calcolabile a priori). Nel nostro caso, l'importo richiesto era di 1,4BTC e la commissione si è rivelata di un millesimo di BTC, ne avevamo comprato 1,45 per sicurezza. Il servizio di acquisto da noi utilizzato metteva come regola esplicita di fornire un indirizzo del proprio portafoglio. Essendo bitcoin una cosa praticamente anonima e poco rintracciabile, non credo che quelli del servizio avessero veramente la possibilità di verificare la cosa, ma in azienda hanno deciso di andarci coi piedi di piombo, quindi ho dovuto prima installare loro un wallet (subito ho provato con il client ufficiale bitcoin, ma i tempi di sincronizzazione sono biblici, quindi optate per Multibit o simili che sono molto più veloci, nel caso), far caricare i BTC sul loro wallet, attendere che la transazione fosse confermata, usare Multibit per accreditare gli 1.4 BTC all'indirizzo dei malfattori, attendere che la transazione fosse confermata. Successivamente si è sbloccato tutto e i files si sono decryptati. Il malware era ancora attivo su quel pc, in quanto ci eravamo ben guardati dal disattivarlo, in ogni caso da un altro pc sandbox mio avevo provveduto a scaricare da Tor Browser la copia dell'unlocker e della chiave crittografica, per avere più sicurezza.

[Chill-Out]

CTB Locker and Critroni Ransomware Information Guide and FAQ

http://www.bleepingcomputer.com/viru...formation#ctbl

[il_nick]

Allora ragazzi, ricapitolando:

• Il virus si presenta come un file .cab ma con icona di altre estensioni, giusto? Se è così, un utente che abiliti la visualizzazione delle estensioni per i file file su windows vede il .cab alla fine del file?
  
• Come mai non viene ancora riconosciuto dai più diffusi antivirus (ad es. avira, avg, ecc..)?

Qualcuno può inoltrarmi il virus per poter fare delle prove in ambiente isolato?

Quote:

Originariamente inviato da dema86

in ogni caso da un altro pc sandbox mio avevo provveduto a scaricare da Tor Browser la copia dell'unlocker e della chiave crittografica, per avere più sicurezza.

Scusa ma non c'è una chiave univoca per ciascun pc infetto?

[Chill-Out]

Quote:

Originariamente inviato da il_nick

Allora ragazzi, ricapitolando:

• Il virus si presenta come un file .cab ma con icona di altre estensioni, giusto? Se è così, un utente che abiliti la visualizzazione delle estensioni per i file file su windows vede il .cab alla fine del file?
  
• Come mai non viene ancora riconosciuto dai più diffusi antivirus (ad es. avira, avg, ecc..)?

Virus poliformico con hash univoco per ogni sample per eludere gli AV.

[Inocs]

Quote:

Originariamente inviato da dema86

In questo topic io ed Inocs abbiamo riportato due casi comprovati in cui si sono recuperati i dati. Sui forum di bleepingcomputer si trovano altri positivi ma anche diversi negativi.
La garanzia non c'è, nel nostro piccolo io e Inocs abbiamo detto che ha funzionato.

La procedura è complicata se non hai mai avuto a che fare con bitcoin, se invece sei già abbastanza esperto della cosa, potrebbe risultarti semplice.

In sé devi acquistare i Bitcoin necessari (fare attenzione ad acquistare qualche frazione di Bitcoin in eccesso rispetto all'importo, di modo da poter pagare la commissione sulla transazione, che purtroppo non è facilmente calcolabile a priori). Nel nostro caso, l'importo richiesto era di 1,4BTC e la commissione si è rivelata di un millesimo di BTC, ne avevamo comprato 1,45 per sicurezza. Il servizio di acquisto da noi utilizzato metteva come regola esplicita di fornire un indirizzo del proprio portafoglio. Essendo bitcoin una cosa praticamente anonima e poco rintracciabile, non credo che quelli del servizio avessero veramente la possibilità di verificare la cosa, ma in azienda hanno deciso di andarci coi piedi di piombo, quindi ho dovuto prima installare loro un wallet (subito ho provato con il client ufficiale bitcoin, ma i tempi di sincronizzazione sono biblici, quindi optate per Multibit o simili che sono molto più veloci, nel caso), far caricare i BTC sul loro wallet, attendere che la transazione fosse confermata, usare Multibit per accreditare gli 1.4 BTC all'indirizzo dei malfattori, attendere che la transazione fosse confermata. Successivamente si è sbloccato tutto e i files si sono decryptati. Il malware era ancora attivo su quel pc, in quanto ci eravamo ben guardati dal disattivarlo, in ogni caso da un altro pc sandbox mio avevo provveduto a scaricare da Tor Browser la copia dell'unlocker e della chiave crittografica, per avere più sicurezza.

Errore fatto da me, non avendo mai fatto transazioni in bitcoin, ho inizialmente acquistato su bitboat solo 2 BTC esatti. Poiché blockchain (dove ho aperto il portafoglio, l'ho trovato di uso semplicissimo, davvero elementare) mi chiedeva 0,0001 bitcoin di commissione per il successivo versamento, ne ho poi dovuti comprare altri 0,05 (comunque pacchetto minimo di acquisto almeno su bitboat, quindi la spesa sarebbe stata la stessa).

Bitboat ha accreditato i BTC pochi minuti dopo il versamento "esatto" dell'importo richiesto, nel mio caso fatto con postepay ricaricando un'altra postepay. Acquistati i BTC, poichè non mi si apriva la schermata sul desktop, ho scaricato il browser TOR, come indicato nelle istruzioni lasciate dal virus, e mi sono collegato al link suggerito nelle istruzioni stesse. Ho dovuto provare per 2-3 ore, aggiornando di continuo, fino a che non si è aperta una pagina in cui inserire la lunga chiave pubblica inserita nelle istruzioni.

Fatto ciò si è aperta un'altra pagina in cui ho potuto fare una prova di decrittazione di un file (ne ho scelto uno prezioso per la mia collega) e tutto è andato a buon fine, dopo una ventina di tentativi di connessione. A quel punto, tramite blockchain , ho versato i BTC sull'account indicatomi nelle istruzioni del virus. Dopo una mezz'oretta (e dopo aver controllato che su quell'account i soldi erano arrivati e poi erano stati subito prelevati) sono riandato sulla pagina lasciata aperta su TOR, ho aggiornato un altro po' di volte e mi è uscito un link per il download dell'unlocker e della chiave. 2-3 minuti dopo mi è arrivato tutto in forma di download all'interno di TOR. Ho archiviato, come consigliato, l'unlocker.exe e la chiave e ho proceduto, dopo aver messo l'eseguibile sul desktop del computer infetto, a lanciare il processo di recupero. E' andato avanti durante la notte e stamattina i file erano tutti a posto.

Ci tengo a precisare che ho ricevuto la chiave e il software di decrittazione circa 55 ore dopo l'avvio del countdown e dopo aver perso l'avvio automatico sul desktop.

[nV 25]

Gente, a cose normali pagare il riscatto = incentivare questi soggetti nel proseguire la pratica criminosa.





A meno di casi specifici (= dati fondamentali per la prosecuzione del lavoro,...), PIANTO UNICO (e possibilmente in futuro ragionare di più prima di agire → valido nell'ipotesi dell'incauta azione circa l'apertura delle mail o esecuzione di un qualcosa di ignoto; ricorrere a strumenti dedicati antiexploit → coprendosi cosi' dall'ipotesi tutt'altro che infrequente di infezione "involontaria" ottenuta semplicemente visitando un sito "corrotto").

[Nicky Grist]

Ho usato con discreto successo questa soluzione.

http://www.digitalic.it/wp/mercato-2...are-file/88156

[vascoseigrande]

ma se pur pagando si aveva la certezza di recuperare i dati era un conto.. Qui c'è il rischio di pagare 500/600 euro senza ottenere nulla!

Fino a ieri dalla pagina http://w7yue5dc5amppggs.onion/ tramite rete tor e inserendo la key, era possibile decriptare un singolo file, oggi non appare più quella funzione..

[il_nick]

Sono assolutamente d'accordo, a meno che non si tratti di dati di estrema importanza come per esempio documenti aziendali che ne causerebbero un danno economico ingente, pazienza aver perso le foto ricordo o i documenti; se il vostro computer si fosse fuso in un incendio nemmeno tutto l'oro del mondo vi aiuterebbe a recuperare l'hard disk e non potreste fare nulla se non farvene una ragione. Pertanto non fate il gioco di questi bastardi che si stanno arricchendo a dismisura.

[zannahwup]

Recuperare i Dati è estremamente difficile/improbabile, Quindi meglio
Prevenire anche perchè lo spieghi ma molti non ascoltano o non usano
le misure base per non infettarsi.

Raccomando inoculare ogni computer di persone a cui tenete
con questo REG che Elimina l'esecuzione dei file SCR all'apertura da Mail.

Non Disattiva Tutti gli screensaver, solo l'interazione Con L'apertura
da Parte dell'utente.

La modifica è innocua e reversibile, Sto testando su
Windows XP x86 - Win 7 x86/64 - Win8 x86/64

Sistemo alcuni aspetti e lascio ultime tra poche ore quiDOWNLOAD PATCH
(vedi fondo pagina)

Nota: Fai CONSERVA a Chrome se dice che puo' essere pericoloso,
Lo sono tutti i File Reg ed è giusto che ti avvisi, fondamentalmente
ti stai curando il computer, se hai dubbi chiedi a un amico Esperto!
Verifica pure: è uno zip contenente un reg che previene il problema.

PS: La proposta qui fatta di disattivare l'apertura dei CAB puo'
portare più bene che altro, I Cab non servono solo a installare windows ma
anche Drivers di Periferiche, Stampanti o Programmi completi.

[!fazz]

Quote:

Originariamente inviato da zannahwup

Recuperare i Dati è estremamente difficile/improbabile, Quindi meglio
Prevenire anche perchè lo spieghi ma molti non ascoltano o non usano
le misure base per non infettarsi.

Raccomando inoculare ogni computer di persone a cui tenete
con questo REG che Elimina l'esecuzione dei file SCR all'apertura da Mail.

Non Disattiva Tutti gli screensaver, solo l'interazione Con L'apertura
da Parte dell'utente.

La modifica è innocua e reversibile, Sto testando su
Windows XP x86 - Win 7 x86/64 - Win8 x86/64

Sistemo alcuni aspetti e lascio ultime tra poche ore quiDOWNLOAD PATCH
(vedi fondo pagina)

Nota: Fai CONSERVA a Chrome se dice che puo' essere pericoloso,
Lo sono tutti i File Reg ed è giusto che ti avvisi, fondamentalmente
ti stai curando il computer, se hai dubbi chiedi a un amico Esperto!
Verifica pure: è uno zip contenente un reg che previene il problema.

PS: La proposta qui fatta di disattivare l'apertura dei CAB puo'
portare più bene che altro, I Cab non servono solo a installare windows ma
anche Drivers di Periferiche, Stampanti o Programmi completi.

su bleeping c'è un tool per patchare il sistema disabilitando l'esecuzione di eseguibili in specifiche cartelle per chi non vuole settare a mano le policy

[friscoss]

Quote:

Originariamente inviato da dema86

............attendere che la transazione fosse confermata. Successivamente si è sbloccato tutto e i files si sono decryptati. Il malware era ancora attivo su quel pc, in quanto ci eravamo ben guardati dal disattivarlo, in ogni caso da un altro pc sandbox mio avevo provveduto a scaricare da Tor Browser la copia dell'unlocker e della chiave crittografica, per avere più sicurezza.

Questo è piuttosto allarmante, in quello che dici fai intendere che non solo il file scr una volta aperto ha criptato tutto quello che ha potuto, ma in qualche modo avevano anche un controllo remoto sul Pc in grado di decriptare o meno?

[Unax]

Quote:

Originariamente inviato da friscoss

Questo è piuttosto allarmante, in quello che dici fai intendere che non solo il file scr una volta aperto ha criptato tutto quello che ha potuto, ma in qualche modo avevano anche un controllo remoto sul Pc in grado di decriptare o meno?

tutto può essere ma mi pare di capire che una volta che hai pagato ti danno l'unlocker.exe e la chiave di decrittazione, poi tu ti arrangi

non sembra che si sbattano loro da remoto a decrittare anche perchè questo aumenterebbe le possibilità di essere intercettati

[dema86]

Quote:

Originariamente inviato da friscoss

Questo è piuttosto allarmante, in quello che dici fai intendere che non solo il file scr una volta aperto ha criptato tutto quello che ha potuto, ma in qualche modo avevano anche un controllo remoto sul Pc in grado di decriptare o meno?

Non credo che tu abbia capito bene come funziona il programma malevolo.
Ti do un'idea a grandi linee di cosa fa, magari potrebbe essere leggermente inesatto, ma intanto un'idea te la da.
Il malware appena lo prendi verifica la connessione ad internet ed appena riesce a contattare il suo server credo scambi in qualche maniera i dati relativi a chiave crittografica, indirizzo bitcoin associato al tuo pc etc.
Parte a crittare tutti i dati, genera i suoi file txt e png delle istruzioni, disseminati lungo l'hard disk, a fine del procedimento ti esce il famigerato popup con le istruzioni per il pagamento ed il timer. Questa finestra attiva, evidentemente si riaggiorna ogni tot tempo, controllando se il server gli dice che il pagamento è attivo. In quel caso si attiva automaticamente decrittando il tutto. Il server remoto in linea di massima è solo una sorta di database, non è qualcosa che ti controlla il pc. Sul server loro poi ci sarà qualche sorta di programma automatizzato che verifica i pagamenti sugli indirizzi bitcoin e una volta verificati sblocca un flag corrispondente al tuo record in database.

Quote:

Originariamente inviato da vascoseigrande

ma se pur pagando si aveva la certezza di recuperare i dati era un conto.. Qui c'è il rischio di pagare 500/600 euro senza ottenere nulla!

Fino a ieri dalla pagina http://w7yue5dc5amppggs.onion/ tramite rete tor e inserendo la key, era possibile decriptare un singolo file, oggi non appare più quella funzione..

Il decrypt di un singolo file è una tantum, altrimenti la gente si decripterebbe uno a uno i file che sono indispensabili e formatterebbe poi senza pagare alcun riscatto.

Quote:

Originariamente inviato da Unax

tutto può essere ma mi pare di capire che una volta che hai pagato ti danno l'unlocker.exe e la chiave di decrittazione, poi tu ti arrangi

non sembra che si sbattano loro da remoto a decrittare anche perchè questo aumenterebbe le possibilità di essere intercettati

Come accennato sopra, loro non decrittano nulla, se non ti sei sbarazzato del malware e quindi il popup è ancora attivo sullo schermo del pc, nel momento in cui rileva l'avvenuto pagamento contattando il server, parte in automatico il decrypt. Io ho scaricato comunque unlocker e relativa chiave da un secondo pc, ma il lavoro di decrypt l'ha fatto di suo il malware, senza che li usassi sul pc.
Ha decrittato tutto, io poi ho spento la macchina, ho clonato l'hard disk su un paio di altri, per sicurezza, prima di mettermi al lavoro per ripulire il tutto con gli appositi metodi.

[il_nick]

Che ne pensate di questo software? Dite che è efficace per la prevenzione del virus?

[Unax]

Quote:

Originariamente inviato da il_nick

Che ne pensate di questo software? Dite che è efficace per la prevenzione del virus?

funziona se è in grado di capire che è in atto un tentativo ma nessun anti qualcosa è infallibile al 100%

comunque provarlo male non fa è utile per svariati malware non solo per lo specifico di cui si parla in questa discussione

[Unax]

qualcuno ha fatto la prova con MBAE anti exploit?

quanti antivirus riconoscono il file .scr contenuto nel cab?

[friscoss]

Quote:

Originariamente inviato da dema86

....ci sarà qualche sorta di programma automatizzato che verifica i pagamenti sugli indirizzi bitcoin e una volta verificati sblocca un flag corrispondente al tuo record in database..

Innanzi tutto grazie per i chiarimenti, sono esattamente quelli da te descritti i passaggi con cui ha operato il "maligno"...ma il fatto è che il mio pc non ha mai avuto a che fare con bitcoin e non credo disponga di dati per verificarne eventuali indirizzi.
Inoltre la finestra attiva col timer è stata liquidata rapidamente.

Per rendere un attimino su come arriva questa nuova variante ecco gli screen della Mail ricevuta, un file txt apribile senza problemi e un file Cab da maneggiare con cautela.

[Unax]

hai fatto scansionare il cab o il scr su virustotal? giusto per vedere quanti antivirus lo riconoscono

[Parnas72]

Un mio amico mi ha chiamato ieri sera perchè ha incautamente aperto la mail con il virus, che gli ha criptato 25 GB di foto (è il PC di casa, quindi nessun documento importante).
Oggi sono andato a vedere la situazione, il virus si rimuove facilmente (sia AVG che Malwarebytes lo riconoscono). Purtroppo per i file criptati c'è poco da fare, nel suo caso chiedevano 3,5 bitcoins (circa 700€) per la chiave di decodifica.

La prima cosa che ho fatto è stata verificare con Shadow Explorer la presenza di eventuali copie ripristinabili, ma il virus aveva rimosso tutti i punti di ripristino.