תשלום כופר ל CTB-Locker, תוכנה מסוג "כופרה"

מאת: נטהוסט, תמיכה טכנית

31 ינואר 2015

כללי

שרת במשרדו של לקוח נדבק בוירוס מסוג CTB-Locker המצפין קבצים, ומבקש "כופר" להסרת ההצפנה. סייענו ללקוח בתהליך החיבור לאתר ההאקרים החסוי והתשלום להאקרים. לאחר התשלום קיבלנו תוכנת פיענוח, שהסירה בהצלחה את ההצפנה מהקבצים. ללקוח היו קבצים חשובים שלא היה להם גיבוי.

בדיקה כללית של השרת הנגוע עליו הותקנה התוכנה

תחילה בדקנו את רשימת התהליכים הרצים, ואת יומן האירועים של השרת. השרת מריץ מערכת הפעלה Windows Server 2008 R2, אך התהליך המתואר כאן יפעל גם על מחשבים אישיים שאינם שרת.

תוכנה המוגדרת לרוץ כל פעם שהיוזר נכנס

היוזר שהריץ את הוירוס שהגיע במייל, לא היה בעל הרשאות מנהל על המחשב, אך זה לא הפריע לתוכנה להצפין את כל הקבצים, כולל הקבצים המשותפים לכל המשתמשים (כי היו לו הרשאות כתיבה לקבצים אלה).

במחשב שנדבק בוירוס, מצאנו Scheduled Task המריץ את הקובץ:

C:\Users\username\AppData\Local\Temp\5\vhyuhfk.exe

נראה שהכופרה (CTB-Locker) על המחשב שבדקנו לא השלימה את עבודתה. מעדויות באינטרנט, הכופרה אמורה להציג מסך עם הסבר איך לשלם את הכופר. בפני המשתמש שבו טיפלנו לא הוצגה הודעה כזו, כמו כן תהליך ההצפנה לא הושלם, יש קבצים שלא הוצפנו. התוכנה מצפינה רק קבצים עם סיומות מסויימות, לדוגמא קבצים עם סיומת xls, doc, mdb, jpg ועוד.  סביר שהכופרה המצפינה קרסה תוך כדי פעולה מסיבה לא ברורה ולכן לא הוצגה ההודעה הסופית.

גם קובץ ה Scheduled Task הנ"ל שהוגדר ע"י התוכנה לא היה קיים עוד.

קיווינו שהעובדה שהתוכנה לא סיימה את פעולתה, לא תפריע לקבלת מפתח השיחרור והסרת ההצפנה (כפי שאכן קרה, ההצפנה הוסרה למרות שהתוכנה לא סיימה את פעולתה).

קבצים מוצפנים על השרת

התוכנה יצרה קבצים עם אותם שמות כמו הקבצים המקוריים אך עם תוספת סיומת:

לדוגמא במקום הקובץ ששמו:

example_doc.docx

הופיע קובץ:

example_doc.DOCX.oiyyqyh

תצלום מסך של רשימת קבצים מוצפנים:

 

files_owner_manager

בין הקבצים מצאנו קובץ תמונה ובו הודעת ההאקרים עם הסבר כיצד לשחרר את ההצפנה:

כותרת ההודעה:

"קבציך האישיים הוצפנו ע"י תוכנת CTB-Locker"

personal_files_are_locked_small

 

הסיומת של כל הקבצים שהוצפנו היא: oiyyqyh

סיומת זו תהיה שונה במחשב אחר הנפגע מהתוכנה. אנו חושדים, שאם ימצא מחשב אחר שנפגע ושמות הקבצים בו שונו לשמות עם הסיומת oiyyqyh, תוכנת הפיענוח ששלחו ההאקרים אלינו (ראו קישור לתוכנה שקיבלנו מאתר ההאקרים בהמשך), תפעל גם עליו!

מעדויות באינטרנט, אופן הפעולה של תוכנת ההצפנה הוא כזה:

התוכנה מייצרת קובץ חדש ומצפינה את הקובץ המקורי אליו. לאחר השלמת ההצפנה אל הקובץ החדש היא מעתיקה אליו את חתימת הזמן של הקובץ המקורי, ואז בשלב האחרון מוחקת את הקובץ המקורי.  בגלל שיטת פעולה זו תוכנה לשיחזור קבצים מחוקים יכולה לעזור. כדאי לנסות תוכנה כזו לאיתור קבצים חשובים לפני תשלום הכופר. במקרה שלנו התוכנה הצילה קבצים אחדים. תוכנה לשיחזור קבצים מחוקים כמו:

Piriform Recuva מ http://www.piriform.com/recuva

כדאי לנסות גם תוכנות אחרות לשיחזור קבצים מחוקים.

 

גישה לאתר ההאקרים החסוי באמצעות שער לרשת החסויה Tor (שיטה זו לא פעלה)

 

לא מומלץ להשתמש בשיטה זו, כי מפעילי השער לרשת החסויה Tor עלולים לקבל תלונה ולחסום את הגישה לאתר החסוי של מפיצי הוירוס. בגישה ישירה לרשת ה Tor אפשר לרענן את הדף באתר ההאקרים ולוודא מדי פעם שהוא עדיין פעיל. כדאי לוודא שהאתר עדיין פעיל רגע לפני העברת התשלום.

נכנסנו לאתר השער לרשת Tor  כפי שרשום בהודעת הוירוס:

https://example.onion.cab/  (במקום ה “example” במקור היה רשום רצף של תווים ואותיות, אנו לא יכולים לרשום את הכתובת המדוייקת כאן בגלל המדיניות של גוגל)

אך בכתובת זו הופיעה כבר הודעת שגיאה שהאתר אינו זמין כי מפעילי השער חסמו את הגישה.

We have blocked the requested site

Access to this Hidden Service has been completely blocked
It may happen that onion.cab maintainers have to block proxy access to certain explicit illegal contents in order to keep the network up and running. In such case you can still access the content directly by using Tor, that's because onion.cab just acts as a proxy server and the content is on a Tor Hidden Service. This mostly happens if the Hidden-Service is showing underage pornographic. 

שיטות קלות יותר לגישה (באמצעות שער לרשת ה  Tor, ולא באמצעות התחברות ישירה לרשת ה Tor) אלה לא פעלו, נפנה לשיטת ה Tor Browser, שלדעתנו תהיה יותר אמינה מאשר חיבור באמצעות שער.

התחברות לרשת Tor  וגישה לאתר החסוי של ההאקרים

מתקינים Tor Browser מ

https://www.torproject.org/projects/torbrowser.html.en

(נראה שאי אפשר להפעיל את דפדפן ה Tor באינטרנט מוגן כמו "אתרוג". השתמשו במחשב המחובר לאינטרנט ללא חסימות). המחשב הנגוע אותו בדקנו היה מחובר לספק האינטרנט המוגן "אתרוג".

ניגשנו ממחשב אחר לכתובת האתר החסוי ברשת Tor שצוינה בהודעת ההאקרים באמצעות דפדפן ה Tor (הדף לא עלה מיד):

תצלום מסך לפני עליית הדף בדפדפן Tor:

trying to connect to the secure site_small

לאחר מספר שניות הופיע ב http://example.onion (אתר ההאקרים החסוי, ראו בתמונת המסך את הכתובת המלאה) הטופס שבהמשך (מלא עם הפרטים שהזנו מההודעה שהוצגה במחשב הנגוע):

enter public key with key

מילאנו את הפרטים, ולחצנו Send.

הדף שולח בקשת POST  אל http://example.onion/keyrecovery

בניסיון הראשון הדף לא ענה. לחצנו Refresh בדפדפן והמתנו בסבלנות.

לאחר מספר נסיונות הופיע דף המבקש תשלום (ראה תצלום מסך), ומאפשר ניסיון לפענח קובץ אחד. הסכום שביקשו הוא 3BTC (3 ביטקוינים), לידו הופיע הערך של 3 ביטקוינים בדולרים. להפתעתנו ערך זה התעדכן מדי פעם (לאחר ריענון הדף) באופן אוטומטי בהתאם לשער "היציג" של הביטקוין בדולרים. לוקח זמן להתארגן ולהשיג ביטקוינים, אך אין חשש לאיבוד עמוד התשלום. הדף נשאר פעיל וזוכר אותנו (כנראה כי משיג את הנתונים ממספר ה id בסוף הקישור). במקרה שלנו הקישור היה:

http://example.onion/payment?id=2e3d4fb13b48f13854bcd84e132400a4

payment_required

בתחתית העמוד, (לא מופיע בתצלום המסך שלמעלה) הוצג טופס ובו אפשרות לביצוע פיענוח של קובץ אחד. העלנו לאתר קובץ מוצפן אחד, וקיבלנו חזרה ובמהירות את הקובץ המפוענח. ניסיון לבצע פיענוח לקובץ נוסף, נכשל עם ההודעה הבאה (כלומר האתר בודק שאכן אנו מנסים רק קובץ אחד לפענח בניסיון ולא יותר):

השגת ביטקוינים וביצוע התשלום

לתשלום ביטקוין, פתחנו ארנק עבור הלקוח ב http://blockchain.info (כתובת להתחלת תהליך יצירת ארנק ביטקוין: https://blockchain.info/wallet/new)

 מבלוקצ'יין קיבלנו כתובת ביטקוין לקבלת תשלומים. הלקוח פנה טלפונית וקיבל שירות אדיב ותעריף נמוך מזה שקיבל במקומות אחרים מיובל מ http://www.bitsofgold.co.il

הנה תצלום של חשבון הלקוח בבלוקצ'יין עם 3 ביטקוינים שהועברו ע"י החלפן bitsofgold: אנו רכשנו מעט יותר למקרה שיהיו עמלות נוספות בתשלום. אין צורך בכך, אפשר לרכוש בדיוק 3 ביטקוינים (או הסכום המדוייק שהנוכלים שיזמו את קמפיין הוירוסים מבקשים מכם).

תשלום 3 ביטקוינים

שליחת 3 ביטקוינים לכתובת התשלום של הנוכלים:

 

לאחר שליחת התשלום:

המתנו 15 דקות לאחר העברת התשלום וריעננו בדפדפן ה Tor את מסך אתר ההאקרים:

וקיבלנו את ההודעה שלעיל:

(התשלום התקבל, הנה קישור להורדת תוכנת הפיענוח, הוראות שימוש בתוכנה ו.. בהצלחה!)

ההאקרים מציעים גם לאפשר ולעדכן את תוכנת האנטי וירוס בסיום התהליך!

הקישור להורדת התוכנה במקרה שלנו:

http://example.onion/unlocker.exe?id=2e3d4fb13b48f13854bcd84e132400a4

 

הנה הקובץ שקיבלנו מההאקרים: (יכול לסייע לחברות אבטחה ליצור כלי להסרת ההצפנה, או להסיר ההצפנה ממחשב שנפגע ובו לקבצים אותה סיומת כמו במקרה שלנו)

CTB-Unlocker.exe

לאחר לחיצה על הקישור, ירדה תוכנת הפיענוח למחשבנו. העתקנו את התוכנה למחשב הלקוח והרצנו אותה:

לתוכנה לקח מספר שעות לרוץ ולעבור על הקבצים הרבים של שבמחשב הלקוח, התוכנה עוברת באופן סידרתי על הקבצים ועל כל אחד מבצעת פיענוח, ומוחקת את הקבצים המוצפנים. בסיום התהליך נשארים עם קבצים מפוענחים עם הסיומת המקורית. גם תאריכי היצירה של הקבצים שוחזרו.

קישורים עם מידע על ה ctb-locker

http://blog.trendmicro.com/trendlabs-security-intelligence/ctb-locker-ransomware-includes-freemium-feature-extends-deadline/

http://www.symantec.com/connect/blogs/support-perspective-ctb-locker-and-other-forms-crypto-malware

http://www.securityweek.com/ctb-locker-ransomware-uses-unusual-cryptographic-scheme-kaspersky

http://www.2-viruses.com/cbt-locker-ransomware-or-how-to-decrypt-encrypted-files

http://www.makeuseof.com/tag/cryptolocker-dead-heres-can-get-files-back/

אתר המציע גם תוכנת פיענוח:

http://malwarefixes.com/remove-ctb-locker-virus/

(התוכנה לא הצליחה לפענח במקרה שלנו)

 

תגובות וסיוע נוסף

נשמח לקבל תגובות.

נטהוסט,

תמיכה טכנית

oved@nethost.co.il

טל': 072-2785000