CTB-Locker (Critoni) Ransomware Description

Descrição do CTB-Locker (Critoni) Ransomware Description

Critoni Ransomware Image 1O Critoni Ransomware (também conhecido como CTB-Locker ou Curve-Tor-Bitcoin Locker) é um Trojan que criptografa arquivos e usa o navegador Tor para ofuscar as suas atividades na rede com os seus servidores de Comando e Controle. Embora as inovações técnicas do Critoni Ransomware sejam dignas de nota, o Critoni Ransomware põe em perigo os arquivos de suas vítimas de uma forma muito parecida com os outros ransomware, exigindo que seja feito um pagamento para a restauração dos arquivos. Estratégias apropriadas de backup de dados podem atenuar os efeitos de um ataque do Critoni Ransomware, e ferramentas anti-malware devem ser usadas para excluir o Critoni Ransomware e todas as ameaças a ele relacionadas,logo que possível.

O que o Anonimato de um Trojan Significa para Você

O Critoni Ransomware é um dos muitos Trojans que criptografam arquivos e podem se instalar através de vulnerabilidades de software alavancadas em ataques que tendem a ser implementados por ameaças baseadas na rede, tais como o Angler Exploit Kit. Assim como a instalação do Critoni Ransomware que raramente requer qualquer consentimento de suas vítimas, os seus ataques também ocorrem automaticamente, visando e criptografando tipos específicos de arquivo no seu PC. Documentos, imagens e arquivos de áudio, todos podem se tornar ilegíveis, com arquivos TXT do Critoni Ransomware avisando sobre o uso de uma fórmula de curva elíptica quase impossível de ser quebrada no processo.

Além de pedir às suas vítimas um plano de pagamento baseado no Tor para que os arquivos comprometidos sejam devolvidos à sua forma original, o Critoni Ransomware também inicia uma comunicação com um servidor de C & C. Essa função pode permitir que o Critoni Ransomware receba instruções para outros ataques ou transmita informações. O Trojan implementa esse recurso de forma semi-inovadora, usando o Tor para provar o anonimato dos servidores de C & C. Outras ameaças foram pioneiras dessa técnica, incluindo os Trojans bancários, mas os especialistas em malware ainda não viram qualquer outro Trojan de criptografia usando a metodologia de anonimato do Critoni Ransomware.

Na prática, este anonimato pode tornar mais difícil para os pesquisadores de segurança de PC perturbar a infra-estrutura do servidor de o Critoni Ransomware, ou auxiliar a aplicação da lei, com apreensão de administradores a Critoni Ransomware. Administradores de o Critoni Ransomware não são necessariamente os mesmos indivíduos como seus programadores; o Critoni Ransomware foi visto sendo vendido a terceiros em fóruns suspeitos para somas de três mil dólares.

Tirando os Seus Arquivos da Curva do Critoni Ransomware

Embora o Critoni Ransomware se gabe por usar um algoritmo de criptografia excepcionalmente forte que dificulta a descriptografia, existem outros meios de preservar os seus arquivos dos ataques de um Trojan criptografador de arquivos. Por essa razão, os pesquisadores de malware sempre recomendam que os usuários de PC que possuem dados insubstituíveis, usem backups remotos de arquivos juntamente com unidades removíveis do disco rígido, os serviços do nuvem e opções de armazenamento semelhantes.

A remoção do Critoni Ransomware, deve sempre ser feita por um software anti-malware de boa procedência. O Critoni Ransomware continua em desenvolvimento ativo e pode ser utilizado por terceiros usando várias estratégias de infecção e outras ameaças. Por conseguinte, as suas ferramentas anti-malware devem ser atualizadas para detectar as ameaças mais recentes durante a digitalização pelo Critoni Ransomware. Embora o Critoni Ransomware inclua uma função de auto- exclusão para os cenários de resgate não remunerados, as vítimas não devem esperar que esse recurso seja acionado para desinfetar o seus PCs.

Ao contrário de alguns criptografadores de arquivo mais limitados, o Critoni Ransomware também pode atacar os PCs que não possuem conexões ativas com a Internet. Embora o Critoni Ransomware tenha sido manchete em notícias pelas suas comunicações com os servidor de C & C, essas comunicações parecem não ser obrigatórias para a sua instalação.

Os índices de infecção pelo CTB-Locker estão aumentando para taxas alarmantes. Descobrimos finalmente como o método de criptografia de arquivos usada pelo CTB-Locker torna os arquivos inúteis e não permite que eles sejam descriptografados por qualquer método, mesmo pagando a multa usando o método de pagamento oferecido na tela de fechamento do CTB-Locker.

Outros Nomes: Inject2.BJOA [AVG], W32/Filecoder.EB!tr [Fortinet], Win32/Filecoder.EB, Trojan.Inject, Trojan/Win32.Necurs [AhnLab-V3], Trojan/Win32.Inject [Antiy-AVL], TR/Crypt.Xpack.122199, Trojan/Generic.bpoke, W32/Trojan.MAZW-6845, Mal/Wonton-AF [Sophos], BehavesLike.Win32.PWSZbot.fh [McAfee-GW-Edition], Trojan.Inject.Win32.124416, Trojan.Encoder.853 [DrWeb], TrojWare.Win32.Amtar.amu [Comodo], Trojan.GenericKD.2055176 (B).

Informação Técnica

Screenshots e Outras Imagens

CTB-Locker (Critoni) Ransomware Description Image 1 CTB-Locker (Critoni) Ransomware Description Image 2

Detalhes Sobre os Arquivos do Sistema

CTB-Locker (Critoni) Ransomware Description cria o(s) seguinte(s) arquivo(s):
# Nome do arquivo Tamanho MD5 Contagem da Detecção
1 %TEMP%ochzigh.exe 704,000 803f9c1091e5ca6dc3e9aa90172e0bf4 5
2 %TEMP%wzremvn.exe 345,088 10f0eaa794f48ad0b15034e0683cb15f 3
3 %TEMP%jkylgdbirzboad.exe 749,242 015fb9d19a20ba42e5c3b758668d4563 3
4 %TEMP%eugqrwi.exe 697,344 49e988b04144b478e3f52b2abe8a5572 2
5 %TEMP%fzageih.exe 705,024 789b5189c029697c993071aeba3cbc58 2
6 %TEMP%kzjyswn.exe 704,512 14c0558c757c93465eccbbd77d58bbf3 2
7 %TEMP%cjdolsd.exe 704,512 b4e5dec85e9b7eec2a8b2b1addceb8ab 2
8 %TEMP%xlejyim.exe 669,696 adb0de790bd3fb88490a60f0dddd90fa 2
9 %TEMP%kb04009100.exe 729,088 18dfcf3479bbd3878c0f19b80a01e813 1
10 %TEMP%bqnvgig.exe 706,560 4ebd076047a04290f23f02d6ecd16fee 1
11 %USERPROFILE%\Desktop\7ea9e7d0e7314c2ab5c23b100f60365d\wylam_invoice_2015_01_20-15_42.scr 41,984 0ab519048a9173de2edf95294a2a68bd 1
12 %WINDIR%ygehnnol.exe 286,720 7027a7ee4fbcb26f1d039035ebd0dca5 1
13 %TEMP%ljchyff.exe 757,434 7aaa4bd1c2ca44174f17f06deb6221ff 1
14 %MyDocuments%\DecryptAllFiles [USER ID].txt N/A
15 %MyDocuments%\AllFilesAreLocked [USER ID].bmp N/A
16 %MyDocuments%\[RANDOM].html N/A
17 %WinDir%\Tasks\[RANDOM].job N/A
18 %Temp%\[RANDOM].exe N/A
19 C:\[RANDOM]\[RANDOM].exe N/A
20 C:\Users\[USER]\AppData\Local\[RANDOM].exe N/A
21 C:\Documents and Settings\[USER]\Application Data\[RANDOM].exe N/A
22 C:\Documents and Settings\[USER]\Local Application Data\[RANDOM].exe N/A
23 file-7938054_EXE 657,408 6092ec1035366851a8c8e80442b1245a 0
24 488d401ab2659cb237aef2675a862d918b6c30b52c88f4458e0a7305a5d676bb.exe 39,424 268e27e693c9e1ba00d9cf42439d835b 0
25 79da125e30253ddcfed484223682af6430227fb6de9a3d9fc13d92ff9517d6a6.exe 708,608 8a62bed88959a8bc5de1bc4d4555fb64 0
26 brittlely.scr 29,696 61637ebf2ec4e4baffc6f18e9f00bde9 0
27 captec_invoice_2015_01_20-16_06.scr 41,472 2cab826c558bb3a24894c590bfca8a9b 0
28 chapman_invoice_2015_01_20-16_01.scr 41,984 4d2c78c273fa23d78624251f2059538d 0
29 enkindle.scr 29,696 57fab926134689e12513811a63c61946 0
30 flowserve_invoice_2015_01_20-15_51.scr 40,448 63147780369571c64bdd55084c5c4857 0
31 ford_invoice_2015_01_20-15_47.scr 40,960 153c6d9d91fe78b70b336bd2688d777a 0
32 file.exe 69,632 cb7c20c9de1b4ff2fa72ffc300311988 0
Arquivos Adicionais

Detalhes sobre o Registro

CTB-Locker (Critoni) Ransomware Description cria a seguinte entrada de registro ou entradas de registro:
Regexp file mask
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\[RANDOM CHARACTERS]HELP_DECRYPT[RANDOM CHARACTERS]
%userprofile%\documents\[RANDOM CHARACTERS]Decrypt-All-Files[RANDOM CHARACTERS]
%userprofile%\documents\Decrypt All Files[RANDOM CHARACTERS].bmp
%USERPROFILE%\My Documents\[RANDOM CHARACTERS]Decrypt-All-Files[RANDOM CHARACTERS]
Registry key
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\System Components Update
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\System Security
RegistryKeyValue
HKEY_CURRENT_USER\Control Panel\Desktop "Wallpaper" = "%MyDocuments%\AllFilesAreLocked [USER ID].bmp"

Isenção de Responsabilida do Site

O Enigmasoftware.com não é associado, afiliado, patrocinado ou de propriedade dos criadores ou distribuidores de malware mencionados neste artigo. Este artigo NÃO deve ser mal compreendido ou confundido como estando associado de alguma forma à promoção ou endosso de malware. Nossa intenção é fornecer informações que instruam os usuários de computador sobre como detectar e finalmente remover malware dos seus computadores com a ajuda do SpyHunter e/ou instruções de remoção manual fornecidas neste artigo.

Este artigo é fornecido "como está" e deve ser usado apenas para fins educacionais. Ao seguir as instruções deste artigo, você concorda em ficar vinculado a esse aviso Legal. Não garantimos que este artigo o ajude a remover completamente as ameaças de malware do seu computador. O spyware muda regularmente; portanto, é difícil limpar completamente uma máquina infectada por meios manuais.

Deixar uma Resposta

Por favor NÃO utilize este sistema de comentários para perguntas sobre pagamentos e suporte. Para solicitações de suporte técnico do SpyHunter, entre em contato diretamente com a nossa equipe de suporte técnico, abrindo um ticket de suporte ao cliente através do seu SpyHunter. Para problemas com pagamento, por favor acesse a página "Problemas ou Perguntas referentes ao Pagamento". Para solicitações genéricas (reclamaçōes, questōes legais, imprensa, marketing, direitos autorais) visite a nossa página "Perguntas e Comentários"n"


HTML não é permitido.