Il ransomware CBT Locker o come decriptare file cifrati

 

CTB Locker

Il ransomware CTB Locker (a volte è possibile trovarlo anche con il nome di Critoni) è stato per la prima volta notato nel luglio del 2014.Questo virus mira a cifrare vari file e a chiedere un riscatto per la loro decifratura. La maggior parte delle versioni di Windows, inclusi Windows XP, Windows Vista, Windows 7, e Windows 8 possono essere colpiti da questo ransomware. Una caratteristica esclusiva di questo malware è che comunica con il server di comando e controllo di TOR. Un fatto interessante è che chiunque può acquistare CTB Locker (CBT Locker) per circa $3,000 dollari americani. Per questa cifra otterrai il kit base e il supporto completo degli sviluppatori di CTB Locker su come impostare tutto correttamente. Questo dignifica che in giro esistono diverse versioni del virus con aspetto differente.

Tutti I file criptati da Critoni sono impostati nel formato CTBL e non è possibile aprirli. Una volta installato, questo ransomware scansionerà il tuo computer per scoprire quali file hai e cripterà la maggior parte di essi (non necessariamente tutti). Successivamente verrà visualizzata una grande finestra nel tuo schermo. Assomiglierà a questa (vedi sotto) Affermerà che I tuoi dati personali sono stati criptati e che dovrai pagare un riscatto di $120, se li rivuoi indietro. Il pagamento dovrà essere effettuato con Bitcoins.
CTB

Se il tuo computer è stato infettato con Critoni, dovresti essere in grado di vedere una cartella con un nome casuale all’interno della cartella %Temp% del tuo computer. Questo malware si avvierà ogni volta che ti logghi nel tuo sistema. CTB Locker utilizza una criptografia a curva ellittica per cifrare I file egli utenti, questo è un modo abbastanza unico. Una volta che CTB Locker effettua la scansione e cripta I tuoi file, verrà mostrato un messaggio contenente le istruzioni per il pagamento del riscatto Inoltre, verrà modificato anche il tuo sfondo del desktop con il file i %MyDocuments%AllFilesAreLocked .bmp, nel quale potrai trovare dettagliate informazioni su come pagare il riscatto. Potranno essere creati anche altri file, accessibili all’utente, – %MyDocuments%DecryptAllFiles <user_id>.txt e %MyDocuments%.html. Anche qui potrai trovare le informazioni necessarie per arrivare al sito ufficiale del malware e completare il pagamento. A causa degli intercorsi con il server di commando e controllo è accessibile solo tramite TOR e non con Internet, è così più complicate per le forze dell’ordine tracciare questo ransomware. Tuttavia, non è impossibile. Dovresti sapere che, ogni volta che riavvi il tuo sistema, il malware CTB Locker creerà una copia di se stesso con un nuovo nome casuale su %Temp%, è quindi possibile che tu possa trovare tonnellate di file dal nome strano in questa cartella.

Adesso, il primo passo da effettuare, quando realizzerai che il tuo computer è stato infettato con il ransomware Critoni – è scansionare il tuo sistema con un anti-malware affidabile, come Spyhunter o malwarebytes. Prima lo fai meglio è. E’ veramente difficile capire la presenza di questo malware finché non appare sullo schermo il messaggio contenete la comunicazione circa la cifratura dei tuoi file, sarebbe quindi saggio eseguire una scansione di tanto in tanto per prevenire che questo accada. Comunque sia, nel caso in cui i tuoi file fossero già stati cifrati, potrai comunque ancora scansionare il PC e rimuovere questa infezione in modo tale che non vengano creati ulteriori file quando riavvii Windows. Nel caso in cui volessi farlo manualmente, dovrai rimuovere tutti gli eseguibili dalla cartella %Temp% e rimuovere I processi nascosti nel Windows Task Scheduler. Nota che, questo rimuoverà soltanto il virus e nessun file che è stato cifrato sarà decriptato. Al momento non esiste alcun metodo conosciuto per decriptare i file cifrati da CTB Locker. Esistono molti tool sviluppati per decriptare i file cifrati da altri malware, ma purtroppo non sono in grado di farlo per quelli cifrati da CTB Locker. Ci sono soltanto due modi per recuperare i file cifrati – pagare il riscatto o ripristinare i file da un backup. Apri il file %MyDocuments%.html per scoprire quali file sono stati criptati e devono essere ripristinati.

Il messaggio di CTB locker si presenterà così:

I tuoi file personali sono stati criptati.%f0%%c0%

I tuoi documenti, foto, database e altri file importanti sono stati criptati con una potente ed unica chiave di cifratura, generate per questo computer.

La chiave per la decriptazione è conservata in un server Internet segreto e nessuno potrà essere in grado di decriptare I file, a meno che non paghi e ottieni la chiave privata.

Se vedi la finestra principale del locker, segui le istruzioni presenti. Altrimenti sembrerà che tu o il tuo antivirus avete cancellato il programma locker. Questa è la tua ultima opportunità per decifrare i tuoi file.

  1. Digita l’indirizzo %c1%http://torproject.org%c0% nel tuo browser Internet. Ti porterà al sito di Tor.
  2. Premi ‘Scarica Tor’, e successivamente premi ‘SCARICA I bundle del browser di Tor ’, installali ed eseguili.
  3. Adesso hai il Browser Tor. Nel Browser Tor apri %c1%http://%onion%/%c0%.

Nota che questo server è disponibile solo attraverso il browser Tor.

Riprova tra un’ora nel caso in cui il sito non fosse raggiungibile.

  1. Digita la seguente chiave pubblica nel form di input del server. Evita errori di battitura.

%f1%%c1%%key%%f0%%c0%

  1. Segui le istruzioni sul server.

Queste istruzioni sono anche salvate nel file nominato DecryptAllFiles.txt nella cartella documenti. Potrai aprirlo e fare un copia-incolla dell’indirizzo e della chiave.

Come decifrare file criptati

Come abbiamo già detto prima, non c’è alcuna possibilità di decriptare I file che sono stati cifrati da CTB Locker (CBT Locker). Se non hai intenzione di pagare il riscatto ai criminali informatici, potrai ripristinare I tuoi file da un backup. Esistono molti modi per farlo.

La migliore opzione è quella di ripristinare tutte le impostazioni del sistema da un Backup di Windows. Tuttavia, ciò è possibile solo se hai effettuato un backup in precedenza. Se no l’avessi fatto, non sarai in grado di eseguire un ripristino del sistema. Anche se avessi un file valido di ripristino, potrebbe non essere possibile recuperare i file, se la directory nella quale è salvata non è coperta dal backup di Windows (potrai scegliere ciò nelle impostazioni).

Il metodo seguente può essere altrettanto efficace. CTB locker non cripta solamente il file – fa anche una copia di esso, lo cripta e poi cancella quello originale. Per questo motivo potrai utilizzare particolari software per ripristinare i file perduti. Ad esempio R-Studio o Photorec potrebbero effettuare questo lavoro. Se ti stati chiedendo come mai non è raccomandabile attendere molto dopo che CTB locker è entrato nel tuo sistema, è perché più tempo aspetti, più sarà difficile ripristinare I file cancellati e non criptati.

Copie Shadow

Nel caso in cui non utilizzassi l’opzione di ripristino del sistema sul tuo sistema operativo, esiste la possibilità di usare gli snapshot delle copie shadow. Conservano una copia dei tuoi file quando viene creato uno snapshot per il ripristino del sistema. CTB Locker solitamente cerca di cancellare tutte le possibile copie shadow, ma a volte fallisce. E’ importante ricordare che le copie shadow sono disponibili solo su Windows XP Service Pack 2, Windows Vista, Windows 7, e Windows 8. Esistono due modi per recuperare i tuoi file attraverso le copie shadow. Potrai farlo tramite le versioni precedenti di Windows o tramite Shadow Explorer.
native Windows Previous Versions

Versioni precedenti di Windows

Clicca con il tasto destro sul file criptato e selezione Proprietà >Versioni precedenti. Vedrai tutte le copie disponibili di quel particolare file e quando sono state salvate nella copia shadow. Scegli la versione del file che vuoi recuperare e clicca su copia se vuoi salvarla nella stessa directory, o ripristina se vuoi sostituirla con quella esistente, ovvero il file criptato. Se vuoi vederne il contenuto, clicca su Apri.
ShadowExplorer

Shadow Explorer

E’ un programma che può essere trovato gratuitamente online. Puoi scaricare sia la versione completa che quella portatile. Apri il programma e nell’angolo superiore sinistro seleziona il drive nel quale era salvato il file che stai cercando. Successivamente ti verranno mostrati tutte le cartelle di quel drive. Per ripristinare un’intera cartella, clicca con il tasto destro e seleziona l’opzione “Esporta” e scegli dove salvare. Questo è tutto.

Come ripristinare I file che sono stati criptati su DropBox

Se sei solito salvare i tuoi file su DropBox (il più comune servizio di storing su piattaforma web) anche questi sono stati criptati, di seguito potrai trovare alcuni consigli da utilizzare per il recupero.
dropbox

Per recuperare I file cifrati su DropBox, fai semplicemente un login sul tuo account nel sito di DropBox. Successivamente cerca la cartella nella quale erano salvati I file che vuoi recuperare. Clicca con il destro e selezione l’opzione versioni precedenti. Vedrai così tutte le versioni precedenti del suddetto file (come nelle copie shadow). Seleziona la versione desiderata e clicca il pulsante ripristina.