Шифрувальник CTB-Locker

21/04/2015

 

Останнім часом (починаючи з 15 квітня 2015 року) CERT-UA фіксуються численні випадки розсилання електронних листів із вкладеннями у вигляді RAR-архівів, які, в свою чергу, містять файли з розширенням .cab (також файл архіву); причому, ім’я самого .cab файлу може бути абсолютно різним (наприклад, назвою організації, доменом або електронною поштою організації).

 

За результатами опрацювання звернень громадян (в т.ч., представників органів державної влади) фахівцями CERT-UA проведено вивчення підозрілих файлів, які надсилаються на електронні поштові скриньки. Встановлено, що, здебільшого, згадані CAB-архіви являють собою шкідливе програмне забезпечення, яке можна віднести до класу «Ransomware» (тобто, програм, які модифікують (шифрують) оригінальний вміст файлів і за їх відновлення вимагають викуп; з англ. «ransom» – викуп). Для ідентифікації (вирізнення з поміж інших) цього виду шкідливих програм антивірусні аналітики використовують назву CTB-Locker (рис. 1).

 

ctb-locker

Рис. 1

 

Після ураження комп’ютера, останній ініціює підключення до серверів управління бот-мережею (для організації централізованого контролю за ураженими комп’ютерами і забезпечення процесу розшифрування даних після отримання викупу зловмисниками створено відповідну бот-мережу).

 

З метою підвищення можливостей українських громадян (і/або фахівців відповідного спрямування) щодо виявлення і локалізації обговорюваної загрози, фахівцями CERT-UA надається невичерпний перелік індикаторів компрометації. Наявність в інформаційних потоках з’єднань з нижчезазначеними IP-адресами/URL може свідчити про наявність в мережі комп’ютерів, уражених шкідливою програмою CTB-Locker.

 

h__p://sintjoep.nl/images/efax.jpg
h__p://bmws1vc.altervista.org/listini/efax.jpg
h__p://sompex.de/system/efax.jpg
h__p://amberaffair.org.au/wp-content/efax.jpg
h__p://philippineswebservices.com/testing/efax.jpg
h__p://stocksandstares.co.uk/docs/efax.jpg
h__p://scalextric.hostei.com/pub/efax.jpg
h__p://piccolochef.com/wp-content/efax.jpg
h__p://pupillenwijhe92.nl/diversen/efax.jpg
h__p://ambiente4u.eu/aglextra/efax.jpg
h__p://scottwall.com/logs/efax.jpg
h__p://sintjoep.nl/images/efax.jpg
h__p://philippineswebservices.com/testing/3858850926.php
h__p://www.ambiente4u.eu/aglextra/3858850926.php
h__p://3fdzgtam4qk625n6.onion.lt
h__p://fizxfsi3cad3kn7v.onion

 

[Оновлено 21.04.2015 23:45]

 

h__p://agriturismolaloggiaantica.it/js/image.jpg
h__p://telecomunicacionescano.com/_old/image.jpg
h__p://teresopolison.com/pet/image.jpg
h__p://rablack.com/Space_Show/image.jpg
h__p://woolstoneyes.com/tonberry/image.jpg
h__p://www.bhgame.it/myadmin/image.jpg
h__p://fixingroup.co.uk/wp-admin/image.jpg
h__p://inbalance.org/harriswrightllp/image.jpg
h__p://chodskapila.wz.cz/images/image.jpg
h__p://fixingroup.co.uk:80/wp-admin/3447786819.php

 

У випадку, якщо все ж таки відбулася зловмисна модифікація даних, одним із шляхів для часткової ліквідації наслідків загрози CTB-Locker може бути відновлення даних з носіїв інформації (за допомогою програмного забезпечення для відновлення втрачених (видалених) даних). Звертаємо увагу, що були зафіксовані випадки шифрування даних, які зберігаються на загальнодоступних мережевих ресурсах (Windows Share). У цьому зв’язку коректне розмежування прав користувачів і правил їх доступу до мережевих ресурсів має мінімізувати негативні наслідки, що можуть бути спричинені загрозою.

 

Ще раз наголошуємо на неприпустимості відкриття вкладень, отриманих засобами електронної пошти (без попереднього підтвердження факту надсилання електронного листа його відправником). Системним адміністраторам і адміністраторам безпеки слід звернути увагу на фільтрацію вхідних/вихідних інформаційних потоків, зокрема, поштового і веб-трафіку.