Ransomware CBT Locker ou como desencriptar ficheiros encriptados

 

CTB Locker

O ransomware CTB Locker (que por vezes toma também o nome de Critoni) foi notado primeiramente em Julho de 2014. Este vírus tenta encriptar vários ficheiros e pede um resgate para os desncriptar. Quase todas as versões do Windows, incluindo Windows XP, Windows Vista, Windows 7 e Windows 8 podem ser afetadas por este ransomware. Um atributo exclusivo deste malware é que comunica com o servidor de Comando e Controlo por TOR. Facto interessante – toda a gente por comprar o CTB Locker online or cerca de $3,000 dólares americanos. Por essa quantia de dinheiro irá receber o kit básico e suporte total dos criadores do CTB Locker sobre como configurar tudo corretamente. Isto significa que muitas versões deste vírus com outro aspeto podem andar por aí.

CTB

Todos os ficheiros encriptados pela Critoni são convertidos para formato CTBL e não estão disponíveis para abertura. Uma vez instalado, este ransomware irá examinar o seu computador para descobrir que ficheiros tem nele e depois encripta a maior parte deles (não necessariamente todos). O que acontece depois é que uma janela grande aparece no seu ecrã. Parece-se com isto (ver abaixo). Irá dizer que os seus ficheiros pessoais estão encriptados e que se os quer de volta, irá ter de pagar um resgate de $120 dólares americanos. Os pagamentos são feitos utilizando o sistema Bitcoin.

Se o seu computador está infetado com Critoni, deve ser capaz de ver uma pasta com um nome aleatório no diretório %Temp% no seu computador. Este malware irá ser inicializado sempre que entrar no seu sistema. O CTB Locker usa criptografia de curva elíptica para encriptar os ficheiros dos utilizadores e isso é uma forma bastante única de o fazer. Uma vez que o CTB Locker (CBT Locker) termina de examiner o seu sistema e encriptar ficheiros, irá mostrar uma mensagem com instruções sobre como pagar o resgate. Além disso, o seu papel de parede irá ser alterado para o ficheiro %MyDocuments%AllFilesAreLocked.bmp, onde irá encontrar informação detalhada sobre como pagar o resgate. Outros ficheiros que também irão ser criados e acessíveis um utilizador – %MyDocuments%DecryptAllFiles<user_id>.txt e %MyDocuments%.html. Aí irá encontrar a informação necessária para chegar ao site oficial do malware e completar o pagamento. Por a relação com o servidor de Comando e Controlo ser executada excecionalmente apenas através do TOR e não da Internet, é mais complicado para os agentes da Lei localizarem este ransomware. Contudo, não é impossível. Deve também saber que de todas as vezes que reinicia o seu sistema, o malware CTB Locker copia-se a si mesmo com nomes novos e aleatórios no diretório %Temp% por isso é possível encontrar toneladas de ficheiros com aspeto estranho por lá.

Agora, o primeiro passo quando se apercebe que o seu computador está infetado com o ransomware Citroni – examine o seu sistema com um anti-malware de confiança, como Spyhunter ou malwarebytes. Quando mais cedo – melhor. É realmente difícil indicar a presença desta aplicação maliciosa no seu computador até o ecrã com a janela de que os seus ficheiros foram encriptados aparecer por isso será prudente examinar o seu computador de vez em quando para prevenir isto de acontecer. Contudo, se os seus ficheiros já estão encriptados, ainda pode examinar o PC e pelo menos remover a infeção para que não sejam gerados novos ficheiros de cada vez que reinicia o seu Windows. No caso de querer fazer isto manualmente, tem de remover todos os executáveis da pasta %Temp% e remover as tarefas escondidas na Agenda de Tarefas do Windows. Note, isto irá apenas remover o vírus e nenhuns ficheiros que já estejam encriptados serão desencriptados. De momento não há nenhum método conhecido de desencriptar os ficheiros encriptados pelo CTB Locker (CBT Locker). Há muitas ferramentas desenvolvidas para desencriptar ficheiros encriptados por outros malwares, mas não são capazes de desencriptar os ficheiros encriptados pelo CTB Locker. Há apenas duas maneiras de retomar os seus ficheiros encriptados – ou pagar o resgate ou restaurar os ficheiros a partir de um backup. Abra o ficheiro %MyDocuments%.html para descobrir que ficheiros foram encriptados e precisam de ser restaurados.

A mensagem do CTB Locker arece-se com isto:

Os seus ficheiros pessoais estão encriptados %f0%%c0%

Os seus documentos, fotos, bases de dados e outros ficheiros importantes foram encriptados com a cripta mais forte e chave única, geradas por este computador.

A chave de desencriptação privada está armazenada num servidor de Internet secreto e ninguém pode desencriptar os seus ficheiros até que pague e obtenha a chave privada.

Se vir a janela principal do programa, siga as instruções visíveis. De outra forma, parece que você ou o seu programa antivírus apagou o programa de bloqueio. Agora tem a última hipótese de desencriptar os seus ficheiros.

  1. Digite o endereço %c1%http://torproject.org%c0% no seu navegador de Internet. Abre o site da Tor.
  2. Pressione ‘Descarregar Tor’, depois pressione ‘Descarregar Conjunto Tor para Navegador’, instale e execute.
  3. Agora tem o Navegador Tor. No Navegador Tor abra a %c1%http://%onion%/%c0%.

Note que este servidor está disponível apenas através do Navegador Tor.

Volte a tentar numa hora se o site não estiver acessível.

  1. Escreva a chave pública seguinte no formulário de entrada do servidor. Evite erros.

%f1%%c1%%key%%f0%%c0%

  1. Siga as instruções no servidor.

Estas instruções são também gravadas para o ficheiro chamado DecryptAllFiles.txt na pasta Documentos. Pode abri-lo e usar copiar-colar para o endereço e a chave.

Como desencriptar ficheiros encriptados

Como mencionamos anteriormente, não há possibilidade de desencriptar ficheiros que foram encriptados pelo CTB Locker. Se não vai pagar o resgate aos ciber-criminosos, pode restaurar os seus ficheiros a partir de um backup. Há várias maneiras de o conseguir.

A melhor opção é simplesmente restaurar todas as definições de sistema e definições de um backup do Windows. Contudo, isto só é possível ser tiver realizado um backup anteriormente. Se não fez isso antes, não conseguirá fazer um restauro de sistema. Mesmo que tenha um ficheiro de restauro válido, pode não ser possível recuperar ficheiros perdidos, se o diretório em que estão guardados não estiver coberto pelo backup do Windows (pode escolher isso nas definições).

O método seguinte pode ser bastante eficaz também. O CTB Locker não encripta apenas o ficheiro – faz uma cópia dele, encripta-o e depois apaga o ficheiro original. Por esta razão, pode usar software articular para restaurar ficheiros perdidos. Por exemplo, o R-Studio ou Photorec poderiam realizar esta tarefa. Se se está a perguntar porque não é recomendável esperar muito tempo após o CTB Locker chegar ao seu sistema, é porque quanto mais esperar, mais difícil será para os programas de restauro de ficheiros recuperar os seus ficheiros apagados e desencriptados.
native Windows Previous Versions

Shadow Volume Copies 

ShadowExplorer

No caso de não utilizar a opção de Restauro de Sistema no seu sistema operativo, há uma hipótese de usar os snapshots das shadow copies. Eles guardam cópias dos seus ficheiros do momento em que o ponto de restauro do seu sistema foi criado. O CTB Locker normalmente tenta apagar todas as Shadow Volume Copies ossíveis, mas por vezes falha em conseguir isto. Vale a pena mencionar que as Shadow Volume Copies estão disponíveis apenas com o Windows XP Service Pack 2, Windows Vista, Windows 7, e Windows 8. Há duas maneiras de recuperar os seus ficheiros via as Shadow Volume Copies. Pode fazê-lo usando o Versões Prévias do Windows nativo ou via o Explorador Sombra.

Versões Prévias do Windows Nativo

Simplesmente clique com o botão direito do rato num ficheiro encriptado e selecione Propriedades>Aba de versões anteriores. Agora irá ver todas as cópias disponíveis desse ficheiro em particular e a altura em que foi guardado numa Shadow Volume Copy. Simplesmente escolha a versão do ficheiro que quer ver recuperada e clique em Copiar se o quiser guardar numa pasta definida por si, ou Restaurar se quiser substituir o ficheiro encriptado existente. Se quiser ver o conteúdo do ficheiro primeiro, clique apenas em Abrir.

Explorador Sombra
dropbox

É um programa que pode ser encontrado online gratuitamente. Pode descarregar uma versão completa ou portátil do Explorador Sombra. Abra o programa e no canto superior esquerdo selecione o disco onde está guardado o ficheiro de que está à procura. Depois ser-lhe-ão mostradas todas as pastas nesse disco. Para recuperar uma pasta inteira, clique com o botão direito do rato e selecione a opção “Exportar” e escolha onde quer que seja guardado. É só isso.

Como restaurar ficheiros que tenham sido encriptados na DropBox

Se costumava guardar ficheiros numa DropBox (serviço de armazenamento de ficheiros baseado na web mais comum) e eles foram encriptados também, pode usar algumas dicas listadas abaixo.

Para recuperar ficheiros encriptados numa DropBox, simplesmente aceda à sua conta no site da DropBox. Depois navegue para a pasta onde está guardado o ficheiro que quer recuperar. Clique com o botão direito no ficheiro e selecione a opção de versões Prévias. Agora irá ver todas as opções prévias disponíveis de um dado ficheiro (como nas Shadow Volume Copies). Selecione as versões desejadas e clique no botão Restaurar.

 

 
 
 

7 pensamentos em “Ransomware CBT Locker ou como desencriptar ficheiros encriptados

  1. Carlos Alberto Fonseca
     

    Olá pessoal, no eu caso fui atacado pelo: 2048-RSA e AES-128 esta tudo criptografado com extensão LOKY. Estou no desespero , não fiz backup e aiinda não consegui um programa que descriptografe , esta semana pesquisando encontrei este site: https://www.openssl.org/docs/manmaster/apps/rsautl.html, tem como principio criar uma linha de comando sendo possivel descriptografar essas “malditas” extensao (LOKY), só que está fora do meu dominio fazer estes comando essa linguagem de programa (OpenSSL) se alguem tem esse dominio , podemos nos ajudar, pelo menos é um começo

    Abraços

     
    1. Giedrius Majauskas
       

      O software de decodificação não é o problema. O problema é a chave privada usada. Você tem que pegar essa chave ou tenta cortá-lo, o que leva muito tempo (anos de recursos do computador).
      The software for decryption is not the problem. The problem is the private key used. You either have to get that key or try to hack it, which takes lots of time (years of computer resources).

       
    2. Johnny Brito
       

      Também peguei o virus.. e não tem como recuperar os arquivos..
      OpenSSL pode até chegar a abrir o arquivo mas ainda assim você precisa da chave privada que só ele a tem.
      Além disso ainda teria que ter um password pra descriptar o AES!

       
      1. Giedrius Majauskas
         

        OpenSSL é algoritmo descriptografar apenas. Você pode querer verificar o software de recuperação de cryptoransomware como Rannoh decrypter, autolocky remoção ferramenta https://decrypter.emsisoft.com/download/autolocky ou tentar restaurar excluído versões de arquivos.

         
    3. Paulo junior
       

      ola Carlos! eu estou a ter o mesmo problema, sera que conseguiste solucionar o seu???

       
  2. Paulo junior
     

    estou a ter o mesmo problema do Carlos pesso ajuda.

     
    1. Giedrius Majauskas
       

      Armário do CTB está inativo. As extensões que o ransomware usado?

       

Deixar uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *