CTB-Locker – Mit tehetünk, ha már túl késő?

Mindenhol te vagy a százezredik látogató? Pont most érkezett meg a Windows 10 frissítés e-mailben? Nyertél egymillió dollárt? Ha bedőlsz ezeknek és rossz helyre kattintasz, jó eséllyel begyűjtesz egy váltságdíjat követelő vírust, a CTB-Locker-t.

Ez a ransomware a CryptoLocker-hez hasonlóan működik, titkosítja a fájljainkat, de ezúttal ECC titkosítással, ami az elődjei RSA titkosításához képest sokkal erősebb, így gyakorlatilag a fájlok visszanyerése lehetetlen. Miután letöltöttük és megnyitottuk a vírust tartalmazó állományt, egy rémisztő ablakban figyelmeztet minket a történtekre, vagyis hogy titkosította a személyes fájljainkat.

virus warning

A 8 bitcoin (kb. félmillió Ft) váltságdíj befizetésére 4 napunk van, amennyiben ez lejár, a díj megduplázódik. Valamennyivel azért mégis jobb a helyzet, mert a program engedélyezi, hogy 5 fájlt ingyenesen helyreállítsunk, ezzel meggyőzve a felhasználót, hogyha fizet, akkor a többi fájlt is visszanyerheti.

ctb-locker-test-decryption

Sajnos azonban ez nem így van, az áldozat hiába fizet, általában nem kapja vissza fájljait, mivel a dolog elsősorban pénzkeresésre megy. Senkinek sem ajánljuk a fizetést, inkább figyeljünk a megelőzésre. Valamint ha fizetünk, akkor bátorítjuk a készítőket, hogy továbbra is csináljanak ilyen programokat.

Fontos a valós idejű víruskereső használata mellett, hogy rendszeresen készítsünk online (nem szinkronizált), vagy külső (nem géphez csatlakoztatott) adathordozóra biztonsági mentést, mert a vírus a merevlemezen tárolt biztonsági mentéseket, valamint az éppen csatlakoztatott adathordozókat, megosztott gépeket, felhő tárhelyeket is titkosítja, illetve törli. Fontos, hogy saját magunk készítsünk biztonsági mentést, ne hagyatkozzunk csak a felhős szinkronizációra, mert előfordul, hogy a fájljaink titkosítása után is készül backup, így végleg elvesznek az adatok.

Ha megtörtént a baj

Amennyiben már meglátjuk a CTB-Locker ablakát, vagy ha jelentősen lelassul a gép, és a feladatkezelőben ismeretlen alkalmazás (pl. jwfekwbfuilwbflukhbeilwkjd.exe, 378316783789981.exe) magas CPU/RAM használatát látjuk, áramtalanítsuk a számítógépet, mert ezzel sok értékes fájlt mentünk meg. Ezután csináljunk Live Linux-ról (nem Windows-ról, mert azon elindulhat a kártevő) adatmentést.

Ha megtörtént a baj, akkor gondoljuk át alaposan, hogy melyik 5 fájlt szeretnénk helyreállítani, azután minél hamarabb távolítsuk el a kártevőt az alább leírtak szerint:

1., Érjük el a speciális rendszerindítási menüt: XP/Vista/7 esetén rendszertöltés előtt az F8 billentyű nyomkodásával, Win8/10 esetén is próbálkozhatunk az F8/Shift+F8-cal (szerencse vagy lassú rendszer kell hozzá), vagy a bejelentkező képernyőről való Shift+Újraindítással, esetleg telepítőről indítással, majd a „számítógép javítása” opcióval.

2., Miután elértük, Windows XP/Vista/7 esetén a nyílbillentyűkkel válasszuk ki a „Csökkentett mód hálózattal” opciót:

win8safemode2

Windows 8/10 esetén válasszuk a „Hibaelhárítás” lehetőséget:

win8safemode1

majd Speciális lehetőségek,

win8safemode2

Indítási beállítások,

win8safemode5

Újraindítás,

win8safemode4

és végül F5.

win8safemode5

*A képeket köszönjük Kiss Gergőnek a laptopszaki.hu-ról.

3., Miután betöltött, nyissuk meg a kedvenc böngészőnket, navigáljunk el a malwarebytes.org weboldalra, szedjük le és telepítsük fel a programot.

4., A Vizsgálat fülön futtassunk egy Mélyvizsgálatot, ami kb. 30 percig tart

mbam

5., Jelöljük ki az összes talált vírust, majd kattintsunk a „kijelölt eltávolítása” gombra

6., Indítsuk újra a gépet

Újraindítás után a rendszerünkből eltűnik a kártevő, de sajnos a kiválasztott 5 fájlon kívül minden személyes fájlunkat „elpusztította” a program (kivéve ha szemfülesek voltunk, és megszakítottuk a titkosítást). Az asztal egyszerű „személyre szabással” javítható.

Hogy megelőzzük az ehhez hasonló támadásokat, nemcsak a víruskeresőnek, de nekünk is figyelmesnek kell lennünk! Ne járjunk ismeretlen vagy gyanús oldalakon, ne kattintgassunk a nagy „DOWNLOAD” gombokra, amíg meg nem nézzük, hogy hová mutat a link, és ne nyissuk meg a kéretlen e-mailek mellékleteit, bármennyire kecsegtető dolgokat ígérnek! Ne feledjétek, a megelőzés sokkal egyszerűbb és fájdalommentesebb!

31 hozzászólás érkezett ehhez a poszthoz

  1. Profile photo of laci5909

    Ha már túl késő? Sokat nem tehetünk… Ajánlott megelőzni a problémát! Először is olyan böngészőt használjunk amelyik valódi védelemmel rendelkezik!
    Lehet hörögni, lehet morogni, de a sokak által imádott “Mozilla Firefox” minden, csak nem az! Az összes védelmi funkciója, csak kamu! Akár adathalász oldalra is, gondolkodás nélkül elvisz bárkit! Bármilyen vírusos vackot letölt, szerinte nem veszélyes. Semmilyen bővítménnyel nem orvosolható, sőt a vírusvédelem sem tesz semmit a hiba ellen. (Aki ért hozzá? Nem kötözködni fog, hanem kipróbálja… ) Rá fog jönni hogy, sajnos igaz! Nem sztárolok semmilyen böngészőt…de. Aki GoogleChrome-ot használ és az összes biztonsági funkciót bekapcsolja a böngésző beállításokban? Már nyert ügye van. Jobb megoldás a ComodoDragon böngésző. Chrome alapokra épül, de a híres comodo védelemmel kiegészítve. (Gyorsabb is mint a Chrome! ) A magyar nyelv beállítására? Telepítés után van lehetőség! (Nem csak tovább, tovább-al telepítünk… ) Komolyabb védelemmel ellátott böngésző nincs a piacon! Persze ha a biztonsági funkciókat kikapcsoljuk? Mert “csakazértis” menni akarok az oldalra, amelytől megóvna! Illetve “csakazértis” letöltöm amit nem enged és ezért kikapcsolom a biztonsági védelmet?! Akkor nem kell meglepődni ha ráfaragunk! A harmadik féltől származó védelmek és malware keresőkről…
    Valójában Windows-10 alatt? Max. 10%-os eredményt produkálnak! Magyarul lutri az összes! Akár ingyenes, akár fizetős! Sok esetben látod a problémát mert ott van az orrod előtt. Viszont a szuper program nem látja! Például: Malwarebytes ANTI-MALWARE, adwcleaner, satöbbi. Amit még jó elkerülni otthon!
    Semmilyen levelet, ne engedjünk be a gépre! A céges gépek le vannak sz@rva, de legalább magunkkal ne toljunk ki! Hiába bármilyen védelem? Nem fog megvédeni! Persze torrentről is összelehet bármit szedni…. Aki óvatos, ésszel csinál mindent? Biztonságos böngészőt használ, nem kikapcsolt biztonsági beállításokkal? Illetve nem kikapcsolt rendszerfrissítéssel? Azok azért nagyjából, biztonságban vannak. A többiek meg magukra vessenek! Egy apróság még… Szerintem a többség futott már bele a “facebookon” ismerősei által, szétszórt porno video utánzatokkal…. ( A kíváncsiság eredménye és a hulladék böngészőé! Nevet már nem írok! ) Ha egy normálisan beállított Dragonnal, kattint rá valaki? Nem fog történni semmi! 😀 Amiket leírtam tény, akár ki is lehet próbálni. Aki meg nem hiszi és csak a rosszindulatot látja? Meg is érdemli! Az okos ember a más kárán tanul de… Mindenki okosabb a másiknál, őt ugyan nem érheti semmi alapon! ( Én is jártam így, és azt hiszem mindenki. Csupán nem mindenki meri bevallani…mert szégyen… )

    Tetszik (3)
    • Profile photo of Máté

      A biztonságos böngészőhasználatban is van valami, nekem a Malwarebytes rosszindulatú webhelyek elleni védelme és a Chrome segít kiszűrni az ilyeneket.

      Tetszik (0)
    • Profile photo of KoLaMan

      ” A harmadik féltől származó védelmek és malware keresőkről…
      Valójában Windows-10 alatt? Max. 10%-os eredményt produkálnak! Magyarul lutri az összes!”
      Nézd, nem érdekel a hited, azt is elviselem, hogy téríteni akarsz, DE légyszi ne sározz más szoftvereket, pláne ne nyilvánvalóan hamis infóval. Ezt a 10%-os eredményt (akármit is jelentsen) szívd vissza. Ha már (naivan, vagy szándékosan) hülyeséget írsz, legalább gondold át előtte.

      Tetszik (2)
      • Profile photo of laci5909

        1: A véleményemen nem változtatok, mert tény!
        2: Az hogy neked nem tetszik valami? Legyen a te problémád, ettől még tény!
        3: A hülyeségről és naivságról? Ezt szerintem hagyjuk… Rég kinőttem a gyerekkorból, pláne ezen a téren…
        Tőlem lehetsz akár rendszergazda, akár valamelyik vírusírtó reklámarca is. A tényeken nem változtat semmit!
        Nem véletlenül hangsúlyoztam ki a Windows-10 et! Korábbi rendszereken más az arány, de itt csak sajnos átlag 10%!
        ( Én nem állok alkalmazásában egyiknek sem! Sőt a böngészők fejlesztéséből is kiléptem már! Így tudom jól hogy miről beszélek. Nem is reklámozom egyiket sem pénz reményében. Csupán tényeket közöltem. Csak is azért hogy másokon próbáljak segíteni. Nem fogok azért képekkel illusztrált cikket készíteni hogy megértsd te is. Sem időm, sem kedvem hozzá. Azt hiszel amit akarsz…. A te dolgod. )

        Tetszik (3)
    • FF nálam nem véglegesít egyetlen letöltést sem amíg az AV real time rá nem néz hogy mi újság 😀 Persze meg kell ennek is fizetni az árát 😉

      Tetszik (2)
    • Profile photo of nemevilagbol

      “Valójában Windows-10 alatt? Max. 10%-os eredményt produkálnak!”
      ” A véleményemen nem változtatok, mert tény!”

      A tényt onnan lehet megkülönböztetni a locsogástól, hogy forrássokkal van alátámasztva. Te ezt elmulasztottad, hát maradjunk annyiban, hogy nem győztél meg arról, hogy igazad lenne. (Understatement)

      Tetszik (3)
    • Ennyi hülyeséget.. 10%? Mert ha te önjelölt szakértőként ideböfögsz egy számot, az már “tény”? Az írásjelek használatatát kellene előbb megtanulnod.

      Tetszik (0)
    • Profile photo of kxzsombor04

      Úgy fel tud települni ha semmilyen gyanús oldalt nem nyit meg az ember és semmilyen mellékletet? egy eset nod 32 ér valamit ha ctb lockerről van szó?

      Tetszik (0)
  2. Profile photo of najoci

    Mennyiben segít ha egy titkosított meghajtón tároljuk személyes fájljainkat?

    Tetszik (0)
  3. Profile photo of Tóth Jani

    laci5909!
    Hát én sok éve használom a Firefox böngésző + Adblock párost, eddig még soha nem sikerült belefutni semmi izgalmas vírusba, igaz néha hiányzik mikor másnál látom hogy már megint Iphone 7-et nyert, de azért kibírom, sőt igazából a Youtube-on is csodálkozni szoktam, hogy jé reklám van a Klipp előtt!
    De sajnos egyre több olyan oldal van ahol elrejtik a tartalmat ha nem kapcsoljuk ki a szűrő programot, így megadva az esélyt arra hogy könnyebben össze lehessen szedni 1-2 vírust.
    Mondjuk a napokban jött a Facebookon az értesítés hogy egy ismerős bejelölt amint 40-en részt vettünk egy eseményen, ami igazából 40 fővel már elég durva de elmegy, és rögtön megkapta a mentesitő programot is mire még vagy 5-6 alaklommal elküldte az egészet.

    Tetszik (1)
    • Profile photo of laci5909

      TÓTH JANI
      Valamikor réges régen Firefox-al kezdtem én is. Azt is mondhatnám hogy “fanatikus” rajongó voltam. A fejlesztői gárdában is benne voltam évekig.
      Mára szépen elmúlt az egész. Az én igényeimet? Semmilyen szinten sem képes már kielégíteni az a böngésző. Valójában semmit sem fejlődött az évek során.
      Illetve annyit mégis, a teljes vezérkar folyamatos marakodása és egymás anyázása. Köszi de nem kérek belőle. Sok mindent nem tud mai napig, amit a legtöbb böngésző igen. Ráadásul bővítmények nélkül! A szinkronizálása is vicc kategória még mindig… Azért meg lesném én ha a világ tulsó felére megy valaki, minden nélkül! Egy szűz gépre telepít egy rókát? Mit tud vele kezdeni? Alapból semmit! Ezt is kipróbáltam! Még egy Maxthon is százszor különb.
      Bővítmények nélkül, semmit nem tud…még mindig! Két három évente ki szoktam próbálni kíváncsiságból. Egy rakás dolgot úgy lopott össze, innen onnan….Még mindig újra kell indítani, igen sok bővítmény esetén! ( Minek??? ) Az újítás miszerint nem telepíthető “nem ellenőrzött” bővítmény…. hááát? Ez sem igaz. Ellenben tény. A legtöbbet és a legkönnyebben feltörhető böngésző címet simán elérte. Ha nem kapják össze magukat? Aminek kicsi az eshetősége… A folytatást már le sem írom….. Akinek elég? Az használja bátran! Én nem fogom. ( Még az I Explorer is jobb! Szigorúan Windows-10 alatt! ) 😀

      Tetszik (1)
      • Profile photo of KoLaMan

        “A fejlesztői gárdában is benne voltam évekig ”
        Max. a trollok fejlesztői gárdájában voltál benne… Igaz, ez nem tény, de erősen hiszek benne.

        Tetszik (2)
      • Profile photo of Tóth Jani

        “Egy szűz gépre telepít egy rókát? Mit tud vele kezdeni?”
        Aki új felhasználó az semmit, nekem 5 éve folyamatosan van MozBackup mentésem, így esetleg egy OP rendszer váltásnál vagy gépcserénél, telepítés után visszaállítom, így megvan minden bővítményem, Scriptem, és nem kell az összes oldal újra hozzáigazítani a monitor méretéhez.

        Tetszik (0)
  4. Profile photo of banyaiviko

    Pár hete találkoztam olyan CTB Lockerrel ami még a meghajtót is titkosította, és se formázás se újrahúzás csak egy új vinyó segített. Érdekes volt

    Tetszik (0)
  5. Profile photo of László

    Ez is egy szoftveres védekezési mód.
    https://www.youtube.com/watch?v=qM3EwUgzqs4
    5:32-től működés közben (ez azzal is jár, hogy több ismeretlen, de tiszta fájl is az auto-sandboxban végzi.)
    Részletesebb:
    https://youtu.be/P8YCMpRKKtE?t=1077

    Tetszik (1)
  6. Meglepődtem, hogy visszalátom a képeket. Hasznos írás egyébként, hozzánk is jönnek be ilyen gépek elég gyakran.

    Tetszik (2)
  7. Profile photo of madar45

    Mindenki a saját belátása szerint védekezik. Persze, a user megteheti, hogy biztonsági szoftver nélkül kezd el barangolni a neten, de ma (2015) kevesebb mint tíz perc alatt annyi mindent összeszed, bármilyen oldalakra téved: http://virusirto.hu/blogbejegyzesek/2015/07/16/ket-it-biztonsagi-mitosz-lerombolasa/, hogy szoftver legyen a talpán, amely az összegányolt gépet megtisztítja.
    Aki netezni akar, jobb ha tudja: itt nincsen paranoia, csak gyenge védelem, felületesség, crackelt „vírusirtók”.
    Senkinek ne legyenek illúziói: minden egyes gép célpont.
    Én két oprendszert használok, a Windows mellett Lubuntu. Ha linuxozom, nem foglalkozom a biztonsággal, csak annyiban, hogy a Chrome-ban és a FF-ban is használom az AdBlockPlus-t és a Ghostery-t. És mindig New Private Window. Itt ennyit tudok tenni, plusz a napi frissítés (ami a linuxban minden telepített programra vonatkozik).
    Amikor viszont a Win-t kell használnom: GData Total Protection (legális), SpyHunter (legális) és a biztonság kedvéért MBAM free, Privacy Eraser, továbbá itt is a Private Window a böngészőkben.
    Ettől kevesebbel én nem érem be.
    A Gdata supportja azt tanácsolta, semmilyen más védelmet ne telepítsek a gépemre, mert a program mindent tud, mindentől véd. Amikor (ezek ellenére) fölraktam a Spyhuntert, kb. 480 kártevőt talált. Ezek nem vírusok, „csak” böngészőket szemetelő valamik. Irtani viszont csak akkor fogja, ha megveszed. Megvettem. Ez sem 100%. A supportjuk viszont ötcsillagos. Mikor nyitottam egy új ticket-et, tíz (!) percen belül válaszoltak. Nincs könnyű dolguk a kártevő-irtóknak, amikor minden negyedik (!) másodpercben megjelenik egy új.
    Egyébként nálam általában a Chrome játszik, de nem azért, mert annyira megbíznék a Google-ban. Egy oka van: idegen nyelvű honlapot két kattintásra lefordít magyarra. Jó, nem egy Tóth Árpád fordítás, de jóval több a semmitől. Amikor szakmai témákban keresgélek, sokszor csak angol nyelvű honlapokat találok, annyira pedig nem tudok angolul, hogy megengedhessem magamnak a tévedést, főleg, ha rendszer témában keresek. Inkább elviselem a gépi fordítást, amit én „visszamagyarítok”.
    A Comodo Dragont letöltöttem, telepítettem, rögtön magyar, de még nincs tapasztalatom vele. Ha lesz, megírom.
    Végezetül egy kérdés: hogyan lehet bekapcsolni Windows 10 PRO-ban az automatikus bejelentkezést? Próbáltam a netplwiz -el, regedit-tel, de utóbbival annyit értem el, hogy automatikusan bejelentkezik ugyan, de nem a nevemmel, hanem a jelszavammal. Helló „jelszó”. Biztos, hogy én csesztem el valamit, de nagyon bosszantó.

    Tetszik (0)
  8. Profile photo of PARADOXON

    Lehet paranoiának köszönhető de nem bízom a véletlenre .
    Védelem sose lehet csak 1 frontos szerintem 🙂 / vírusirtó / , lehet az bármennyire szuper meg Pro meg akármi …
    Nálam ez így néz ki :
    1 Avira Free / a lényeget tudja /
    2 Tinywall / 2 irányú tűzfal könyvű kezelhetőség /
    3 HostMan / Host fájl lista frissítése rendszeresen kártékony oldalak ellen véd /
    4 iobit advanced systemcare funkciói a védelemre
    Ez 2 részes : a , internet beállításoknál – helyek opcióba rak 1 listát tiltott web lapokról b , böngészés védelem web oldalak aktív ellenőrzésével.
    5 malwarebytes anti-malware aktív védelme.
    6 Böngésző alatt a Adblock + nem csak reklámot blokkol a megfelelő szabályokat többet is tud 🙂

    Tetszik (0)
  9. Profile photo of Zozzo

    Ez csak azért van, mert a világon működő PC-k több mint 95%-án (nem tudok pontos számot, de szerintem jól tippelek) Windows fut a linux meg csak pár százalék , ha ez fordítva lenne nyugodt lehetsz a linuxon is ennyi mindenre lenne szükséged .

    Tetszik (2)
  10. Profile photo of madar45

    Részben van igazad. A legtöbb kártevőt Windows alá írják. A második az Android. http://virusirto.hu/blogbejegyzesek/2015/06/30/veszelyben-az-androidos-eszkozok-94-a/ Van okos telefonod? Akkor kezdhetsz aggódni.
    Valamit nagyon nem értesz. A Windows-ban mindent szabad, ami nem tiltott. Az UAC-ot kapásból kikapcsolod. A linuxban semmit nem szabad, csak amire engedélyt adsz. A linuxban “vendég” vagy. A vendégnek pedig nincs olyan jogosultsága, mint a “házigazdának”. Egyszerűen nem tud lefutni egy kártékony kód, mert nincsen hozzá jogosultsága. Tudom, hogy Windows-os okossággal nehéz ezt megérteni.
    Ha körülnézel Európában, egyre több kormány(zati) szervezet cseréli le a Widows-t Linuxra.
    Én addig vagyok nyugodt, amíg a linux csak néhány százalék 🙂

    Tetszik (0)
  11. Profile photo of lac2626

    Idézet a cikkből: “Ezután csináljunk Live Linux-ról (nem Windows-ról, mert azon elindulhat a kártevő) adatmentést.”
    Én használom mindkettőt, és tény, hogy linux alatt ilyen, mint a CTB-Locker, egyszerűen nem történhet meg. Ha a felhasználó semmit nem ért semmihez, nem friss a rendszere, vagy kattintson bármilyen linkre, e-mail mellékletre, ilyen egyszerűen nem fordulhat elő…

    Tetszik (0)
  12. Profile photo of madar45

    Én a GData-val készítettem egy indítólemezt (USB). Ez egy linux-boot. Kétszer húzott ki a szarból.

    Tetszik (0)
  13. Profile photo of lac2626

    Mivel a Linux telepítése és beállításai – még ma is – lényegesen nagyobb informatikai tudást feltételeznek, ezért maradjon inkább a Windows-nál.

    Tetszik (0)
  14. Profile photo of Maszi65

    Mit tehetünk ha már túl késő?
    Akkor már szinte semmit. Teljes mentés mindenről rendszeresen, és megfontoltan kattintgassunk akár a böngészőben vagy egy gyanús fájl megnyitásakor.
    Azt azonban lehet párhuzamba hozni, ha böngészés közben hirtelen szinte mint a villámcsapás, beugrik egy reklámszerű ablak akár felnőtt tartalmat megjelenítve és gépünk elkezd furcsán viselkedni. Magas processzor használat legtöbbnyire a jelenség, esetleg villódzik az asztal. Nos ilyenkor a leghasznosabb amit tehetünk, ha megszüntetjük azonnal az internetet és újraindítjuk a gépet egy particionálós programmal amivel az összes particiót és magát az MBR-t vagy az EFI-t is töröljük. Megmondom őszintén az Acronis True Image HD 2014 szoftverét használom (olcsón beszerezhető) komplett mentésre és visszaállításra, de akinek ingyenes kellene arra szerintem a Macrium Reflect a legoptimálisabb.

    Tetszik (0)
  15. Profile photo of Nyuszkó

    Biztos bennem van a hiba, de 1992-ben kezdtem még az imádni való DOS-sal (a legjobb), de sajnos még soha nem futottam bele ilyen, “kíváncsiak” vírusba, mert mindig megnézem mit csinálok, megnézem mire kattintok és ha pornóra vágyom, akkor dvd 😀 Maga a cikk viszont segíthet azoknak akik túl kíváncsiak 🙂

    Tetszik (0)

Szólj hozzá a cikkhez