CTB-Locker (Critroni.A) : Your personal files are encrypted

[Malekal_morte]

Un nouveau Crypto-Ransomware / ransomware chiffreur de fichiers voit le jour qui chiffre les documents.
Son petit nom CTB-Locker, la détection peux se nommer : Critroni.A

Ce nouveau ransomware est été mis en avant par kafeine - il semblerait que ce soit ce ransomware sur le sujet suivant : http://www.commentcamarche.net/forum/af ... -encrypted

La page de blocage avec le message : Your personal files are encrypted


Le fond d'écran de l'ordinateur est modifié :


Le fichier texte DecryptAllFiles.txt :


On retrouve le même mécanisme que pour les variantes Crypto Wall : https://www.malekal.com/2014/01/27/cryp ... owdecrypt/

Voir : Fiche CTB-Locker

Pour la récupération de fichiers, vous pouvez tenter des logiciels de récupérations comme PhotoRec - : Tutorial PhotoRec.

[Malekal_morte]

Une campagne par mail malicieux a actuellement lieu qui propage un Trojan.Downloader du nom de TrojanDownloader:Win32/Dalexis (Microsoft), Win32/TrojanDownloader.Elenoocka.A (ESET).

TrojanDownloader:Win32/Dalexis agit comme Trojan.Win32.Upatre, proposé en pièce jointe de mail se faisant passer pour des services connus (inbound fax, Bank of America, UPS, Invoice etc).

Une fois la pièce jointe ouverte, le Trojan.Downloader va télécharger un autre malware, en l'occurence dans la campagne actuel une copie de Citroni / CTB-Locker.





Nous n'avons pas constaté de mails en langue française, mais des mails en français peuvent arriver dans le tard.

La répartition de la campagne d'email par pays (source ESET)

ESET_Elenoocka.png

Informations technique sur CTB-Locker : http://forum.malekal.com/rancongiciel-c ... ml#p390803

Plus d'informations générales sur ransomware chiffreur de fichiers.

[Malekal_morte]

CTB-Locker maintenant en langue française :

[Malekal_morte]

Une nouvelle vague du ransomware CTB-Locker ou d'un copycat, cette fois-ci ce dernier s'attaque aux site WEB sous GNU/Linux.
La page de blocage :

Your personal files are encrypted by CTB-Locker. Your scripts, documents, photos, databases and other important files have been encrypted with strongest encryption algorithm AES-256 and unique key, generated for this site.

Voir la fiche CTB-Locker : Fiche CTB-Locker.

Il s'agit du second ransomware qui touche Linux et vise les sites WEB, puisque Linux.Encoder.1 en novembre 2015 faisait de même.

source : http://www.kernelmode.info/forum/viewto ... =20#p27917

[Malekal_morte]

Les auteurs de CTB-Locker ont été arrêtes en Roumanie après une opération d'Europol et notamment Dutch High Tech Crime Unit. : Operatio Bakovia.
Les Pays-bas ayant été fortement visés par une vague de spam pour pousser ce ransomware.
Il semblerait que ce group soit aussi lié au ransomware Cerber.


sources :
https://securingtomorrow.mcafee.com/mca ... -research/