מאת: נטהוסט,
תמיכה טכנית
31 ינואר 2015
שרת
במשרדו של
לקוח נדבק
בוירוס מסוג CTB-Locker המצפין
קבצים, ומבקש
"כופר" להסרת
ההצפנה. סייענו
ללקוח בתהליך
החיבור לאתר ההאקרים
החסוי
והתשלום להאקרים.
לאחר התשלום
קיבלנו תוכנת
פיענוח,
שהסירה
בהצלחה את
ההצפנה מהקבצים.
ללקוח היו
קבצים חשובים
שלא היה להם
גיבוי.
תחילה
בדקנו את
רשימת
התהליכים
הרצים, ואת יומן
האירועים של
השרת. השרת
מריץ מערכת
הפעלה Windows Server 2008 R2, אך
התהליך
המתואר כאן
יפעל גם על
מחשבים
אישיים שאינם
שרת.
היוזר
שהריץ את הוירוס
שהגיע במייל,
לא היה בעל
הרשאות מנהל
על המחשב, אך
זה לא הפריע
לתוכנה
להצפין את כל
הקבצים, כולל
הקבצים
המשותפים לכל
המשתמשים (כי
היו לו הרשאות
כתיבה לקבצים
אלה).
במחשב
שנדבק בוירוס,
מצאנו Scheduled Task
המריץ את
הקובץ:
C:\Users\username\AppData\Local\Temp\5\vhyuhfk.exe
נראה שהכופרה (CTB-Locker) על המחשב
שבדקנו לא
השלימה את
עבודתה. מעדויות
באינטרנט, הכופרה
אמורה להציג
מסך עם הסבר
איך לשלם את
הכופר. בפני
המשתמש שבו
טיפלנו לא
הוצגה הודעה
כזו, כמו כן
תהליך ההצפנה
לא הושלם, יש
קבצים שלא
הוצפנו.
התוכנה
מצפינה רק
קבצים עם
סיומות מסויימות,
לדוגמא קבצים
עם סיומת xls, doc, mdb,
jpg
ועוד.
סביר שהכופרה
המצפינה קרסה
תוך כדי פעולה
מסיבה לא
ברורה ולכן לא
הוצגה ההודעה
הסופית.
גם קובץ
ה Scheduled Task הנ"ל
שהוגדר ע"י
התוכנה לא היה
קיים עוד.
קיווינו
שהעובדה
שהתוכנה לא
סיימה את
פעולתה, לא
תפריע לקבלת
מפתח השיחרור
והסרת ההצפנה
(כפי שאכן קרה,
ההצפנה הוסרה
למרות
שהתוכנה לא
סיימה את
פעולתה).
התוכנה
יצרה קבצים עם
אותם שמות כמו
הקבצים
המקוריים אך עם
תוספת סיומת:
לדוגמא
במקום הקובץ
ששמו:
example_doc.docx
הופיע
קובץ:
example_doc.DOCX.oiyyqyh
תצלום
מסך של רשימת
קבצים
מוצפנים:
בין
הקבצים מצאנו
קובץ תמונה
ובו הודעת ההאקרים
עם הסבר כיצד
לשחרר את
ההצפנה:
כותרת ההודעה:
"קבציך
האישיים
הוצפנו ע"י
תוכנת CTB-Locker"
הסיומת
של כל הקבצים
שהוצפנו היא: oiyyqyh
סיומת
זו תהיה שונה
במחשב אחר
הנפגע
מהתוכנה. אנו
חושדים, שאם
ימצא מחשב אחר
שנפגע ושמות
הקבצים בו
שונו לשמות עם
הסיומת oiyyqyh,
תוכנת
הפיענוח
ששלחו ההאקרים
אלינו (ראו
קישור לתוכנה
שקיבלנו מאתר ההאקרים
בהמשך), תפעל
גם עליו!
מעדויות
באינטרנט,
אופן הפעולה
של תוכנת ההצפנה
הוא כזה:
התוכנה
מייצרת קובץ
חדש ומצפינה
את הקובץ המקורי
אליו. לאחר
השלמת ההצפנה
אל הקובץ החדש
היא מעתיקה
אליו את חתימת
הזמן של הקובץ
המקורי, ואז
בשלב האחרון
מוחקת את
הקובץ
המקורי.
בגלל שיטת
פעולה זו
תוכנה לשיחזור
קבצים מחוקים
יכולה לעזור.
כדאי לנסות
תוכנה כזו
לאיתור קבצים
חשובים לפני
תשלום הכופר.
במקרה שלנו
התוכנה הצילה
קבצים אחדים.
תוכנה לשיחזור
קבצים מחוקים
כמו:
Piriform Recuva מ http://www.piriform.com/recuva
כדאי
לנסות גם
תוכנות אחרות לשיחזור
קבצים מחוקים.
לא
מומלץ להשתמש
בשיטה זו, כי
מפעילי השער
לרשת החסויה Tor
עלולים לקבל
תלונה ולחסום
את הגישה לאתר
החסוי של
מפיצי הוירוס.
בגישה ישירה
לרשת ה Tor
אפשר לרענן את
הדף באתר ההאקרים
ולוודא מדי
פעם שהוא
עדיין פעיל.
כדאי לוודא שהאתר
עדיין פעיל
רגע לפני
העברת התשלום.
נכנסנו
לאתר השער
לרשת Tor כפי
שרשום בהודעת הוירוס:
https://example.onion.cab/ (במקום
ה “example” במקור
היה רשום רצף
של תווים
ואותיות, אנו
לא יכולים
לרשום את
הכתובת המדוייקת
כאן בגלל
המדיניות של
גוגל)
אך
בכתובת זו
הופיעה כבר
הודעת שגיאה
שהאתר אינו
זמין כי
מפעילי השער
חסמו את
הגישה.
Access
to this Hidden Service has been completely blocked
It may happen that onion.cab maintainers have to block proxy access to certain
explicit illegal contents in order to keep the network up and running. In such
case you can still access the content directly by using Tor, that's because
onion.cab just acts as a proxy server and the content is on a Tor Hidden
Service. This mostly happens if the Hidden-Service is showing underage
pornographic.
שיטות
קלות יותר
לגישה
(באמצעות שער
לרשת ה Tor, ולא
באמצעות
התחברות
ישירה לרשת ה Tor) אלה
לא פעלו, נפנה
לשיטת ה Tor Browser,
שלדעתנו תהיה
יותר אמינה
מאשר חיבור
באמצעות שער.
מתקינים
Tor Browser מ
https://www.torproject.org/projects/torbrowser.html.en
(נראה
שאי אפשר
להפעיל את
דפדפן ה Tor
באינטרנט
מוגן כמו
"אתרוג".
השתמשו במחשב
המחובר
לאינטרנט ללא
חסימות).
המחשב הנגוע
אותו בדקנו
היה מחובר
לספק
האינטרנט
המוגן "אתרוג".
ניגשנו
ממחשב אחר
לכתובת האתר
החסוי ברשת Tor
שצוינה
בהודעת ההאקרים
באמצעות
דפדפן ה Tor (הדף
לא עלה מיד):
תצלום
מסך לפני
עליית הדף
בדפדפן Tor:
לאחר
מספר שניות
הופיע ב http://example.onion (אתר ההאקרים
החסוי, ראו
בתמונת המסך
את הכתובת
המלאה) הטופס
שבהמשך (מלא
עם הפרטים
שהזנו
מההודעה
שהוצגה במחשב
הנגוע):
מילאנו
את הפרטים,
ולחצנו Send.
הדף
שולח בקשת POST
אל http://example.onion/keyrecovery
בניסיון
הראשון הדף לא
ענה. לחצנו Refresh בדפדפן
והמתנו
בסבלנות.
לאחר
מספר נסיונות
הופיע דף
המבקש תשלום
(ראה תצלום
מסך), ומאפשר
ניסיון לפענח
קובץ אחד.
הסכום שביקשו
הוא 3BTC (3 ביטקוינים),
לידו הופיע
הערך של 3 ביטקוינים
בדולרים.
להפתעתנו ערך
זה התעדכן מדי
פעם (לאחר
ריענון הדף)
באופן
אוטומטי
בהתאם לשער
"היציג" של הביטקוין
בדולרים. לוקח
זמן להתארגן
ולהשיג ביטקוינים,
אך אין חשש
לאיבוד עמוד
התשלום. הדף
נשאר פעיל
וזוכר אותנו
(כנראה כי
משיג את
הנתונים ממספר
ה id בסוף
הקישור).
במקרה שלנו
הקישור היה:
http://example.onion/payment?id=2e3d4fb13b48f13854bcd84e132400a4
בתחתית
העמוד, (לא
מופיע בתצלום
המסך שלמעלה) הוצג
טופס ובו
אפשרות
לביצוע
פיענוח של
קובץ אחד.
העלנו לאתר
קובץ מוצפן
אחד, וקיבלנו
חזרה
ובמהירות את
הקובץ
המפוענח.
ניסיון לבצע
פיענוח לקובץ
נוסף, נכשל עם
ההודעה הבאה
(כלומר האתר
בודק שאכן אנו
מנסים רק קובץ
אחד לפענח
בניסיון ולא
יותר):
לתשלום ביטקוין,
פתחנו ארנק
עבור הלקוח ב http://blockchain.info (כתובת
להתחלת תהליך
יצירת ארנק ביטקוין: https://blockchain.info/wallet/new)
מבלוקצ'יין
קיבלנו כתובת ביטקוין
לקבלת
תשלומים.
הלקוח פנה
טלפונית
וקיבל שירות
אדיב ותעריף
נמוך מזה
שקיבל
במקומות אחרים
מיובל מ http://www.bitsofgold.co.il
הנה
תצלום של
חשבון הלקוח בבלוקצ'יין
עם 3 ביטקוינים
שהועברו ע"י
החלפן bitsofgold: אנו
רכשנו מעט
יותר למקרה
שיהיו עמלות
נוספות
בתשלום. אין
צורך בכך,
אפשר לרכוש
בדיוק 3 ביטקוינים
(או הסכום המדוייק
שהנוכלים
שיזמו את
קמפיין הוירוסים
מבקשים מכם).
שליחת
3 ביטקוינים
לכתובת
התשלום של
הנוכלים:
לאחר
שליחת התשלום:
המתנו 15
דקות לאחר
העברת התשלום וריעננו
בדפדפן ה Tor את
מסך אתר ההאקרים:
וקיבלנו
את ההודעה
שלעיל:
(התשלום
התקבל, הנה
קישור להורדת
תוכנת הפיענוח,
הוראות שימוש
בתוכנה ו..
בהצלחה!)
ההאקרים
מציעים גם
לאפשר ולעדכן
את תוכנת האנטי
וירוס בסיום
התהליך!
הקישור
להורדת
התוכנה במקרה
שלנו:
http://example.onion/unlocker.exe?id=2e3d4fb13b48f13854bcd84e132400a4
הנה הקובץ
שקיבלנו מההאקרים:
(יכול לסייע
לחברות אבטחה
ליצור כלי
להסרת ההצפנה,
או להסיר
ההצפנה ממחשב
שנפגע ובו לקבצים
אותה סיומת
כמו במקרה
שלנו)
CTB-Unlocker.exe
לאחר
לחיצה על
הקישור, ירדה
תוכנת
הפיענוח למחשבנו.
העתקנו את
התוכנה למחשב
הלקוח והרצנו אותה:
לתוכנה
לקח מספר שעות
לרוץ ולעבור
על הקבצים הרבים
של שבמחשב
הלקוח, התוכנה
עוברת באופן סידרתי
על הקבצים ועל
כל אחד מבצעת
פיענוח, ומוחקת
את הקבצים
המוצפנים.
בסיום התהליך
נשארים עם
קבצים מפוענחים
עם הסיומת
המקורית. גם
תאריכי היצירה
של הקבצים
שוחזרו.
http://www.symantec.com/connect/blogs/support-perspective-ctb-locker-and-other-forms-crypto-malware
http://www.securityweek.com/ctb-locker-ransomware-uses-unusual-cryptographic-scheme-kaspersky
http://www.2-viruses.com/cbt-locker-ransomware-or-how-to-decrypt-encrypted-files
http://www.makeuseof.com/tag/cryptolocker-dead-heres-can-get-files-back/
אתר
המציע גם
תוכנת פיענוח:
http://malwarefixes.com/remove-ctb-locker-virus/
(התוכנה
לא הצליחה לפענח
במקרה שלנו)
נשמח
לקבל תגובות.
נטהוסט,
תמיכה
טכנית
טל': 072-2785000