Supprimer CTB-Locker

CTB-Locker (Curve-Tor-Bitcoin Locker) connu aussi sous le nom de Critroni est un ransomware qui est diffusé depuis le mois de juillet 2014. Il touche les versions de Windows incluant donc Windows XP, Windows Vista, Windows 7, et Windows 8. CTB-Locker crypte les fichiers présents sur votre PC et vous force à payer une rançon si vous souhaitez y accéder à nouveau.

Cette attaque commence par un courriel frauduleux arrivant dans la boîte de réception de l’utilisateur. Le sujet de l’email prétend que la pièce jointe est un fax. Si vous ouvrez cette pièce jointe et que votre logiciel antivirus ne vous protège pas,  CTB-Locker sera téléchargé sur votre système : tous vos fichiers seront chiffrés et vous les perdrez à jamais,  le logiciel chiffre la totalité des données de l’utilisateur connecté, puis demande un paiement de 3 bitcoins (environ 690 euros) pour débloquer la situation.

mail envoyé par ctb-locker

Le résultat est similaire à Cryptowall ou TorrentLocker, en ce que les fichiers avec les extensions telles que .mp4, .pem, .jpg, .doc, .cer, .db etc. sont chiffrés par une clé, ce qui rend leur récupération impossible. Une fois le chiffrement des informations terminé, le logiciel malveillant affiche un avertissement et modifie également le fond d’écran avec un message similaire à celui observé dans l’image ci-dessous :

ctb-locker

critroni ctb-locker

Le ransomware va  donc crypter vos fichiers, puis les renommez avec une nouvelle extension. Les anciennes versions de CTB-Locker changeait l’extension de vos fichiers par .CTBL ou .CTB2, tandis que les versions les plus récentes du ransomware utilisent une extension aléatoire comme .ftelhdd ou .ztswgmc. Ces fichiers sont donc simplement vos fichiers qui ont été chiffrés. Il n’y a pas moyen d’ouvrir un fichier crypté sauf si vous les décryptez en payant la rançon. Si vous tentez d’ouvrir ces fichiers avec le programme qui y est associé, le programme peut vous indiquer que ce dernier est corrompu ou tout simplement vous afficher du texte tronqué à l’écran.

Notez qu’une variante de CTB Locker vous offre la possibilité de décrypter 5 fichiers, ceci uniquement dans le but de prouver que l’auteur du ransomeware peut restaurer vos fichiers…. Si vous appuyez sur le bouton « Search », cela sélectionnera aléatoirement 5 fichiers et les décryptera.

Un autre détail particulier du CTB-Locker: non seulement le message est affiché à l’utilisateur dans plusieurs langues mais il affiche également la devise appropriée à cette langue. Si l’utilisateur choisit d’afficher le message en anglais, le prix est en dollars américains, sinon la valeur sera en Euros.

D’un point de vue technique, CTB Locker est une menace basique. Actuellement de nombreuses campagnes similaires à celles présentées ci-dessus se propagent. Certaines menaces contiennent des factures en pièce jointe. Nous en avons également repérée une autre qui avait une facture attachée en pièce jointe _% année_% mois_% jour-1% heure_% MIN.scr nommée par exemple. facture_2015_01_20-15_33.scr Nous avons vu que les échantillons récents utilisent de plus un mot aléatoire, par exemple : stride_invoice_2015_01_20-15_33.scr, tiger_invoice_2015_01_20-15_38.scr etc. Ensuite, il ouvre un document leurre au format RTF dans Word. Ce document se trouve dans un répertoire nommé «DATA» à l’intérieur d’une archive CAB.

Que dois je faire si je découvre que mon PC est infecté par CTB Locker ?

Si vous découvrez que votre ordinateur est infecté par CTB Locker vous devez immédiatement scanner votre PC avec un anti-virus ou un programme anti-malware. Malheureusement, la plupart des gens ne réalisent pas que CTB Locker est présent sur leur ordinateur jusqu’à ce qu’il affiche la note de rançon … vos fichiers ont alors tous été déjà chiffré. Le scan avec un programme anti-malware comme nous vous le proposons sur cette page permettra au moins de détecter et de supprimer l’infection de votre ordinateur afin qu’elle ne démarre plus lorsque vous lancerez Windows.

Pour supprimer manuellement ce ransomeware, vous devez supprimer tous les fichiers exécutables du répertoire %Temp% et effacer les taches cachées dans le Planificateur de tâches de Windows.

Que se passe-t-il si je ne paie pas la rançon demandée à temps ?

Losque vous êtes infecté par CTB Locker on vous indique que vous avez 96 heures pour payer la rançon sinon vous perdrez vos fichier à tout jamais. C’est juste une technique pour vous faire peur puisque le logiciel vous permettra toujours de payer cette rançon mais depuis le réseau TOR uniquement. Quand le compte à rebours atteint zéro, un écran « Time Expired » vous sera affiché et des indications de paiement seront indiquées dessus…

Notre conseil est souvent le même dans ce genre de cas … ne payez jamais les escrocs, si vos fichiers ont vraiment une valeur inestimable c’est à vous de voir. Inquiétez-vous plutôt de ce que le pirate a pu recevoir comme données. Un backup, et/ou une sauvegarde extérieure, sera toujours votre roue de secours. Notez que des cas ont démontré que les fichiers déchiffrés ont été de nouveaux piégés quelques heures plus tard …

Est-il possible de décrypter les fichiers encryptés par CTB Locker ?

Malheureusement il n’est pas possible pour le moment de récupérer la clé privée qui doit être utilisé pour décrypter vos fichiers sans avoir à payer la rançon sur le site de CTB Locker. Trouver cette clé en faisant une recherche par force brute n’est pas réaliste en raison du temps nécessaire pour briser la cryptographie utilisée par ce ransomware. Aussi tous les outils de décryptage qui ont été publiées par diverses entreprises de sécurité informatique pour d’autres ransomware ne fonctionneront pas avec cette infection. Les seules méthodes que vous avez peuvent être la restauration de vos fichiers à partir d’une sauvegarde ou via des outils de récupération de fichiers.

Comment trouver mes fichiers qui ont été cryptés par CTB Locker ?

Pour voir une liste des fichiers cryptées par ce ransomeware vous pour ouvrir le fichier <nom-aléatoire>.html qui se trouve dans le répertoire Mes Documents ou le répertoire C:\Users\All Users\. Ce fichier contient non seulement des instructions de paiement mais aussi la liste des fichiers qui ont été cryptés par ce malware.

Comment se protéger de CTB Locker ?

  • Si vous disposez d’une solution de sécurité pour les serveurs de messagerie, activez le filtrage par extension. Vous pourrez ainsi bloquer des fichiers malveillants avec des extensions telles que .scr, comme celle utilisée par CTB-Locker.
  • Évitez d’ouvrir les pièces jointes dans les courriels d’origine douteuse par exemple lorsque l’expéditeur n’est pas identifié.
  • Supprimez les courriels ou marquez-les comme spam pour empêcher les autres utilisateurs et les employés de l’entreprise d’être touchés par ces menaces.
  • Gardez vos solutions de sécurité à jour pour détecter les dernières menaces qui se répandent.
  • Effectuez des sauvegardes fréquentes de vos données

La dernière analyse que nous avons faite indique que CTB Locker est détecté comme étant un malware par 47 logiciels de sécurité.
Infos sur un fichier de cet indésirable
Nom du fichier :
emfbpvf.exe

Chemin du fichier analysé :
C:\Users\Jean\AppData\Local\Temp\emfbpvf.exe

Date de l'analyse :
8 février 2015

Détection antivirus :
47 / 54

Anti-virus
Nom de la détection
Trojan.Ransom.FileCryptor
Win32/Filecoder.DA
Trojan.CTBLockerKD.2095075
Kaspersky
Trojan-Ransom.Win32.Onion.aa
Symantec
Trojan.Gen
Panda
Trj/Ransom.AB
DrWeb
Trojan.Encoder.686
Comodo
UnclassifiedMalware
TR/Crypt.ZPACK.Gen2
Crypt3.BTOP
Bkav
W32.Patidoc.Trojan
MicroWorld-eScan
Trojan.CTBLockerKD.2095075
nProtect
Trojan/W32.CTBLocker.704512
CAT-QuickHeal
TrojanRansom.Critroni.A3
McAfee
Downloader-CTB!14C0558C757C
Zillya
Trojan.FileCryptor.Win32.2
TheHacker
Trojan/Kryptik.cvsp
K7GW
DoS-Trojan ( 20097a7e1 )
K7AntiVirus
Unwanted-Program ( 004a8e8a1 )
NANO-Antivirus
Trojan.Win32.Vimditator.dmrqfw
F-Prot
W32/Ransom.GI
Norman
Troj_Generic.YEVRC
TrendMicro-HouseCall
TROJ_CRYPCTB.YN
Avast
Sf:Crypt-HC [Trj]
ClamAV
Win.Trojan.Ransom-4305
Agnitum
Trojan.Vimditator!
Tencent
Trojan.Win32.CTB-Locker.b
Ad-Aware
Trojan.CTBLockerKD.2095075
Emsisoft
Trojan.CTBLockerKD.2095075 (B)
F-Secure
Trojan.CTBLockerKD.2095075
VIPRE
Trojan.Win32.Generic!BT
TrendMicro
TROJ_CRYPCTB.YN
McAfee-GW-Edition
BehavesLike.Win32.Backdoor.jc
Sophos
Troj/Agent-AIRO
Cyren
W32/Ransom.NPPA-3365
Antiy-AVL
Trojan[Ransom]/Win32.Onion
Microsoft
Ransom:Win32/Critroni.A
AhnLab-V3
Win-Trojan/CTBLocker.Gen
GData
Trojan.CTBLockerKD.2095075
ALYac
Trojan.CTBLockerKD.2095075
AVware
Trojan.Win32.Generic!BT
VBA32
Trojan.FakeAV.01657
Baidu-International
Trojan.Win32.Kryptik.BCVSP
Rising
PE:Trojan.Win32.Generic.17FAF178!402321784
Ikarus
PUA.FileTour.Mr
Fortinet
W32/CRYPCTB.YN!tr
Qihoo-360
HEUR/QVM20.1.Malware.Gen

Afficher les 43 autres détections anti-virus


Comment supprimer CTB Locker ?

Cette page vous offre des indications utilisant des logiciels de désinfection gratuits testés par nos soins pour effacer CTB Locker mais aussi d'autres menaces qui auraient pu être installées sur votre ordinateur. S'il vous plait, respectez bien l'ordre des étapes données dans cette page. Si à n'importe quel moment vous avez un problème pendant le processus de désinfection stoppez tout et faites appel à un helper dans la rubrique Demander de l'aide.

Supprimer CTB Locker avec le programme MalwareBytes Anti-Malware

Malwarebytes Anti-Malware est un programme qui va effacer de votre ordinateur les problèmes que des anti-virus classiques ne trouvent généralement pas (comme les adwares et les spywares, entre autres). Si vous désirez être protégé contre ce genre d'ennuis, la version Premium de MalwareBytes Anti-Malware est un très bon investissement qui placera votre PC à l'abri (le logiciel coûte 22.95 euros et vous pouvez l'installer sur 3 de vos PC).

Si vous disposiez de la version Premium du logiciel sur votre système au moment où vous avez été touché par CTB Locker, le programme aurait bloqué le logiciel malveillant comme vous pouvez le voir avec la fenêtre d'alerte ci-dessous.

CTB Locker bloqué par Malwarebytes Anti-Malware Premium

  • Téléchargez MalwareBytes Anti-Malware :
    Version Premium Version Gratuite (sans fonctionnalité de protection)
  • Dès que le fichier est téléchargé doublez-cliquez dessus pour lancer l'installation de MalwareBytes Anti-Malware.
  • Cliquez sur le bouton orange Corriger Maintenant à droite de la mention Aucun examen n'a été réalisé sur votre système
  • Dès que le scan est terminé, cliquez sur le bouton Supprimer la selection.
  • Relancer votre machine une fois le scan terminé si le programme vous y invite.

Supprimer CTB Locker avec HitmanPro

Hitman Pro est un logiciel gratuit qui s'utilise en plus des antivirus classiques. Pour une efficacité maximale il fonctionne en ayant recours à la techno de plusieurs antivirus à savoir Avira AntiVir, NOD32, PG DATA Anti-Virus, Prevx et A-Squared Anti-Malware. Hitman Pro se charge donc d'identifier et de supprimer les programmes malveillants que les antivirus n'ont pas pu dépister.

  • Téléchargez HitmanPro (32 ou 64 bits en fonction de votre système):
    Téléchargez HitmanPro
  • Double-cliquez sur le fichier téléchargé pour démarrer le HitmanPro.
  • Faites Suivant et acceptez la licence d'utilisation, validez avec le bouton Suivant.
  • Un scan de votre ordinateur va commencer, une fois terminé cliquez sur Suivant et saisissez votre email pour activer la licence gratuite.
  • Rédémarrez votre PC à la fin de la suppression si le programme vous le propose.

Récuperez une ancienne version de vos fichiers

Windows génère des images instantanées qui comportent des vos fichiers datant du moment où la sauvegarde du système a été effectuée. Ces sauvegardes peuvent vous permettre de restaurer une version antérieure de vos fichiers avant qu’ils n’aient été altérés par CTB Locker. Malgré tout cette méthode n’est pas infaillible, car même si arrivez à retrouvez des fichiers non cryptés, ils peuvent aussi ne pas être la dernière version du fichier qui vous intéresse. Il est également possible que CTB Locker ait supprimé ces sauvegardes. Sachez enfin que les sauvegardes instantanées de Windows ne sont disponibles qu’avec Windows XP Service Pack 2, Windows Vista, Windows 7, 8 et Windows 10. Pour plus de simplicité nous allons utiliser ShadowExplorer.

Récuperez une ancienne version de vos fichiers avec ShadowExplorer

  • Téléchargez ShadowExplorer en cliquant sur le bouton ci-dessous :
    Télécharger ShadowExplorer
  • Faites un clic-droit sur le fichier téléchargé et sélectionnez Exécuter en tant qu’administrateur.
  • Suivez la procédure d’installation du logiciel.
  • Toujours exécuter cet utilitaire en tant qu’administrateur, donc faites un clic-droit sur le programme, allez dans les Propriétés, onglet Compatibilité, cochez la case Exécuter en tant qu’administrateur, et Appliquer.
  • Désormais, en lançant ShadowExplorer, vous pouvez avoir accès à des copies enregistrées de vos fichiers personnels si Windows a précédement créé des images instantanées de ces fichiers.
Si vous n'avez pas réussi à effacer CTB Locker de votre PC après voir suivi ces 3 étapes, expliquez ce que vous avez fait sur notre page support. Quelqu'un viendra vite vous aider ! Accéder au support.

Laisser un commentaire