CTB Locker (Critroni, Backdoor-FCKQ) vírus

CH azonosító

CH-11950

Angol cím

Curve-Tor-Bitcoin Locker (aka Critroni, Backdoor-FCKQ)

Felfedezés dátuma

2014.07.29.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows

Összefoglaló

2014 júliusa óta emailben terjedő ransomware. A fertőzés az email csatolmányának letöltésével (esetleg kicsomagolásával) és futtatásával kerül a rendszerbe (valamilyen pack.tar.gz végű URL-ről). Egy úgynevezett elliptikus görbéken alapuló, asszimetrikus, kétkulcsos RSA titkosítási metódust használ (elliptical curve cryptography) a fájlok zárolására. 

Leírás

A fertőzés többféle típusú fájlokat titkosít (dokumentumok, képek, audió), majd általában .CTB vagy .CTB2-re (a legfrissebb verzió már véletlenszerű kiterjesztést használ, például: .ftelhdd or .ztswgmc) változtatja az érintett fájlok kiterjesztését. Ezután készít egy fájlt, amibe lementi az áldozatnak szánt utasításokat, majd letiltja az explorer.exe-t. A támadók az utasításokat általában az asztalra is kiteszik (%MyDocuments%AllFilesAreLocked<userid>.bmp cseréjével). 

A vírus minden egyes újrabootolással élesedik, így a %Temp% könyvtárban több és több másolatot készíthet magáról:

  • %temp%<7_veletlen_karakter>.exe
  • %temp%wkqifwe.exe

Ütemezett feladatot hoz létre:

  • %windir%Taskscderkbm.job

A következő registry bejegyzéseket állítja be:

  • %FELHASZNALO%Application DataMicrosoft<7_veletlen_karakter>

Kódot fecskendez az svchost.exe és onnantól az svchost.exe innen fog lefutni:

  • %temp%<7_veletlen_karakter>.exe

Az svchostba fecskendezett kód a következő kiterjesztésű fájlokat titkosítja, kódolja:

  • .pdf
  • .xls
  • .ppt
  • .txt
  • .py
  • .wb2
  • .jpg
  • .odb
  • .dbf
  • .md
  • .js
  • .pl

Az újonnan létrejött folyamat egy mutexet (mutual exclusion: megosztott erőforráskezelés több szálon) hoz létre:

BaseNamedObjectslyhrsugiwwnvnn

A titkosított fájlokról a %MyDocuments %<random>.html fájlban láthatunk egy teljes listát. 

Megoldás

A fertőzés eltávolítására több szoftver is alkalmas (előfordulhat, hogy csökkentett módban kell indítani a rendszert):

ESET Rogue Application Remover (ERAR) :

  • 32-bites verzió – http://download.eset.com/special/ERARemover_x86.exe
  • 64-bites verzió – http://download.eset.com/special/ERARemover_x64.exe

Microsoft Malicious Software Removal Tool :

http://www.microsoft.com/hu-hu/download/confirmation.aspx?id=9905