Het doel van dit artikel is om de werkwijze van het CTB Locker ransomware virus te verduidelijken. In het bijzonder zul je over alle symptomen die bij deze infectie horen te weten komen, de technische ins en outs van zijn activiteit, de opties die slachtoffers hebben voor het herstellen van de illegaal versleutelde bestanden en hoe je dit virus op de juiste wijze kunt verwijderen.
CTB Locker is een zeer ernstige computer infectie die op een aantal kritische manieren beter presteert dan de meest voorkomende malware. Eerst en vooral maakt het de bestanden van zijn slachtoffers ontoegankelijk. Dit is niet gedaan voor pure verstoring of plezier van zijn makers – deze activiteit heeft een duidelijk mercantiel doel. In feite codeert het virus iemands gegevens en vraagt vervolgens geld (0,2 BTC) in ruil voor de restauratie. Ook wel aangeduid als Critroni werd deze ransomware beschikbaar bevonden voor de verkoop op ondergrondse black hat bronnen, die een kant-en-klare oplossing zijn die verder gaat dan enige ondersteuning en extra onderhoud. Dit is, blijkbaar, een indicatie dat de hacker-backed malware infrastructuur een nieuw evolutionair niveau heeft bereikt, wat een grote zorg en uitdaging is voor de veiligheid van de gemeenschap.
Om een computer te infiltreren door het gebruik van een exploit, die vooral gebruikmaakt van kwetsbaarheden in verouderde software op het doelsysteem, heeft de CTB Locker het voordeel dat deze niet waarneembaar is voor het slachtoffer tot het smerigste deel van zijn werk al voltooid is. Het scant alle stations op de computer op zoek naar bestanden met de meest voorkomende extensies en versleutelt alles wat het kan vinden met de zogenoemde elliptische curve cryptografie. Geadviseerde netwerkshares of externe data repositories aangesloten op de PC zijn ook onderworpen aan dit effect, zolang ze worden weergegeven als een zelfstandige stationsaanduiding. Ook configureert de ransomware het besturingssysteem om het te triggeren tijdens elke start-up en ervoor te zorgen dat het actief blijft. Het kaapt het bureaublad en verandert de wallpaper met een scherm met basisinformatie en voorlopige instructies over wat er moet gebeuren om de gecodeerde gegevens te herstellen.
Volgens het bericht, de gebruiker heeft 96 uur om het losgeld te betalen. Overigens is deze tijdspanne laatst verlengd – vroeger was het 72 uur in de vorige versies van het virus. Het bericht zegt ook:
“Je persoonlijke bestanden worden gecodeerd door CTB-Locker. Je documenten, foto’s, databases en andere belangrijke bestanden zijn versleuteld met de sterkste encryptie en een unieke sleutel, gegenereerd voor deze computer.”
Helaas is het bericht waar is. Alle gestolen bestanden zijn toegewezen aan vreemd uitziende extensions die niet kunnen worden geopend met welke software dan ook. De extensies handmatig modificeren zal ook niet werken. Voorlopig is de enige betrouwbare manier om de bestanden terug te krijgen om het losgeld te betalen. Zodra je op de knop Next op CTB Locker scherm drukt, zal de malware komen met een document met verdere instructies. Je wordt verteld dat je een bezoek aan een bepaalde site moet brengen via Tor in plaats van een standaard open internet kanaal – de criminelen zijn doen uiteraard hun best om de anonimiteit te behouden. Dus belanden uiteindelijk de slachtoffers op een webpagina waarvan de URL eindigt met “.onion”, waar ze naar verwachting 0,2 Bitcoin, die op dit moment gelijk aan US $ 51,87 imoeten betalen. Vervolgens zal het decryptie hulpmiddel beschikbaar worden gesteld.
Dus, wat zijn je opties als je besmet bent geraakt? Ten eerste bestaat er op dit moment geen 100% efficiënte manier om de bestanden te decoderen anders dan te doen wat de fraudeurs willen, dat wil zeggen, het losgeld betalen. Je kunt CTB Locker zelf verwijderen uit het systeem, maar dat zal de gegevens niet automatisch herstellen. Het opruimen is aan te bevelen, dat wel. Gelukkig zijn er een aantal bruikbare oplossingen die je kunt proberen om de versleutelde gegevens terug te krijgen. Lees de onderstaande instructies om hier meer over te weten te komen.
Uitroeiing van de CTB Locker ransomware kan efficiënt worden bereikt met betrouwbare beveiligingssoftware. Je vasthouden aan de automatische opschoningstechniek zorgt ervoor dat alle onderdelen van de infectie grondig worden weggevaagd uit je systeem.
Tijdelijke oplossing 1: Gebruik herstel software voor bestanden
Het is belangrijk om te weten dat de CTB Locker kopieën maakt van je bestanden en deze versleutelt. In de tussentijd worden de originele bestanden verwijderd. Er bestaan toepassingen die de verwijderde gegevens kunnen herstellen. Je kunt voor deze doeleinden hulpmiddelen gebruiken zoals Data Recovery. De nieuwste versie van deze ransomware in kwestie heeft de neiging om het veilig verwijderen van de toepassing met meerdere te overschrijven, maar in ieder geval deze methode is het proberen waard.
Downloaden ParetoLogic Data Recovery
Tijdelijke oplossing 2: Maak gebruik van back-ups
Eerst en vooral is dit een geweldige manier voor het herstellen van je bestanden. Het kan alleen worden toegepast als er back-ups zijn van de informatie die staat opgeslagen op je computer. Als dat zo is, laat het dan niet na om te profiteren van je voorbedachtheid.
Tijdelijke oplossing 3: Gebruik Schaduwkopieën Van Volumes
In het geval dat je het niet weet maakt het besturingssysteem zogenaamde Shadow Volume Copies van elk bestand zolang het Systeemherstel wordt geactiveerd op de computer. Op bepaalde tijdstippen worden er herstelpunten gemaakt, snapshots van bestanden die op dat moment ook worden gegenereerd. Alhoewel geadviseerd garandeert deze methode niet het herstel van de nieuwste versies van je bestanden. Het is zeker de moeite waard om het te proberen. Deze workflow is op twee manieren uitvoerbaar: handmatig en door het gebruik van een automatische oplossing. Laten we eerst een kijkje nemen bij het handmatige proces.
Nogmaals, het verwijderen van CTB Locker alleen zal niet leiden tot de ontcijfering van je persoonlijke bestanden. De data herstel methoden zoals hierboven benadrukt kunnen wel of niet werken, maar de ransomware zelf behoort niet in de computer. Overigens komt het vaak samen met andere malware en dat is waarom het zinvol is om herhaaldelijk te systeem te scannen met automatische beveiligingssoftware om ervoor te zorgen dat er geen schadelijke overblijfselen van dit virus en de bijbehorende bedreigingen worden achtergelaten op het Windows-register en andere locaties.