CTB-Locker (Curve-Tor-Bitcoin Locker) connu aussi sous le nom de Critroni est un ransomware qui est diffusé depuis le mois de juillet 2014. Il touche les versions de Windows incluant donc Windows XP, Windows Vista, Windows 7, et Windows 8. CTB-Locker crypte les fichiers présents sur votre PC et vous force à payer une rançon si vous souhaitez y accéder à nouveau.
Cette attaque commence par un courriel frauduleux arrivant dans la boîte de réception de l’utilisateur. Le sujet de l’email prétend que la pièce jointe est un fax. Si vous ouvrez cette pièce jointe et que votre logiciel antivirus ne vous protège pas, CTB-Locker sera téléchargé sur votre système : tous vos fichiers seront chiffrés et vous les perdrez à jamais, le logiciel chiffre la totalité des données de l’utilisateur connecté, puis demande un paiement de 3 bitcoins (environ 690 euros) pour débloquer la situation.
Le résultat est similaire à Cryptowall ou TorrentLocker, en ce que les fichiers avec les extensions telles que .mp4, .pem, .jpg, .doc, .cer, .db etc. sont chiffrés par une clé, ce qui rend leur récupération impossible. Une fois le chiffrement des informations terminé, le logiciel malveillant affiche un avertissement et modifie également le fond d’écran avec un message similaire à celui observé dans l’image ci-dessous :
Le ransomware va donc crypter vos fichiers, puis les renommez avec une nouvelle extension. Les anciennes versions de CTB-Locker changeait l’extension de vos fichiers par .CTBL ou .CTB2, tandis que les versions les plus récentes du ransomware utilisent une extension aléatoire comme .ftelhdd ou .ztswgmc. Ces fichiers sont donc simplement vos fichiers qui ont été chiffrés. Il n’y a pas moyen d’ouvrir un fichier crypté sauf si vous les décryptez en payant la rançon. Si vous tentez d’ouvrir ces fichiers avec le programme qui y est associé, le programme peut vous indiquer que ce dernier est corrompu ou tout simplement vous afficher du texte tronqué à l’écran.
Notez qu’une variante de CTB Locker vous offre la possibilité de décrypter 5 fichiers, ceci uniquement dans le but de prouver que l’auteur du ransomeware peut restaurer vos fichiers…. Si vous appuyez sur le bouton « Search », cela sélectionnera aléatoirement 5 fichiers et les décryptera.
Un autre détail particulier du CTB-Locker: non seulement le message est affiché à l’utilisateur dans plusieurs langues mais il affiche également la devise appropriée à cette langue. Si l’utilisateur choisit d’afficher le message en anglais, le prix est en dollars américains, sinon la valeur sera en Euros.
D’un point de vue technique, CTB Locker est une menace basique. Actuellement de nombreuses campagnes similaires à celles présentées ci-dessus se propagent. Certaines menaces contiennent des factures en pièce jointe. Nous en avons également repérée une autre qui avait une facture attachée en pièce jointe _% année_% mois_% jour-1% heure_% MIN.scr nommée par exemple. facture_2015_01_20-15_33.scr Nous avons vu que les échantillons récents utilisent de plus un mot aléatoire, par exemple : stride_invoice_2015_01_20-15_33.scr, tiger_invoice_2015_01_20-15_38.scr etc. Ensuite, il ouvre un document leurre au format RTF dans Word. Ce document se trouve dans un répertoire nommé «DATA» à l’intérieur d’une archive CAB.
Que dois je faire si je découvre que mon PC est infecté par CTB Locker ?
Si vous découvrez que votre ordinateur est infecté par CTB Locker vous devez immédiatement scanner votre PC avec un anti-virus ou un programme anti-malware. Malheureusement, la plupart des gens ne réalisent pas que CTB Locker est présent sur leur ordinateur jusqu’à ce qu’il affiche la note de rançon … vos fichiers ont alors tous été déjà chiffré. Le scan avec un programme anti-malware comme nous vous le proposons sur cette page permettra au moins de détecter et de supprimer l’infection de votre ordinateur afin qu’elle ne démarre plus lorsque vous lancerez Windows.
Pour supprimer manuellement ce ransomeware, vous devez supprimer tous les fichiers exécutables du répertoire %Temp% et effacer les taches cachées dans le Planificateur de tâches de Windows.
Que se passe-t-il si je ne paie pas la rançon demandée à temps ?
Losque vous êtes infecté par CTB Locker on vous indique que vous avez 96 heures pour payer la rançon sinon vous perdrez vos fichier à tout jamais. C’est juste une technique pour vous faire peur puisque le logiciel vous permettra toujours de payer cette rançon mais depuis le réseau TOR uniquement. Quand le compte à rebours atteint zéro, un écran « Time Expired » vous sera affiché et des indications de paiement seront indiquées dessus…
Notre conseil est souvent le même dans ce genre de cas … ne payez jamais les escrocs, si vos fichiers ont vraiment une valeur inestimable c’est à vous de voir. Inquiétez-vous plutôt de ce que le pirate a pu recevoir comme données. Un backup, et/ou une sauvegarde extérieure, sera toujours votre roue de secours. Notez que des cas ont démontré que les fichiers déchiffrés ont été de nouveaux piégés quelques heures plus tard …
Est-il possible de décrypter les fichiers encryptés par CTB Locker ?
Malheureusement il n’est pas possible pour le moment de récupérer la clé privée qui doit être utilisé pour décrypter vos fichiers sans avoir à payer la rançon sur le site de CTB Locker. Trouver cette clé en faisant une recherche par force brute n’est pas réaliste en raison du temps nécessaire pour briser la cryptographie utilisée par ce ransomware. Aussi tous les outils de décryptage qui ont été publiées par diverses entreprises de sécurité informatique pour d’autres ransomware ne fonctionneront pas avec cette infection. Les seules méthodes que vous avez peuvent être la restauration de vos fichiers à partir d’une sauvegarde ou via des outils de récupération de fichiers.
Comment trouver mes fichiers qui ont été cryptés par CTB Locker ?
Pour voir une liste des fichiers cryptées par ce ransomeware vous pour ouvrir le fichier <nom-aléatoire>.html qui se trouve dans le répertoire Mes Documents ou le répertoire C:\Users\All Users\. Ce fichier contient non seulement des instructions de paiement mais aussi la liste des fichiers qui ont été cryptés par ce malware.
Comment se protéger de CTB Locker ?
- Si vous disposez d’une solution de sécurité pour les serveurs de messagerie, activez le filtrage par extension. Vous pourrez ainsi bloquer des fichiers malveillants avec des extensions telles que .scr, comme celle utilisée par CTB-Locker.
- Évitez d’ouvrir les pièces jointes dans les courriels d’origine douteuse par exemple lorsque l’expéditeur n’est pas identifié.
- Supprimez les courriels ou marquez-les comme spam pour empêcher les autres utilisateurs et les employés de l’entreprise d’être touchés par ces menaces.
- Gardez vos solutions de sécurité à jour pour détecter les dernières menaces qui se répandent.
- Effectuez des sauvegardes fréquentes de vos données