CTB-Locker actief in Nederland

Momenteel zien wij opvallend veel activiteit van een Cryptolocker variant die zichzelf presenteert als “CTB-Locker”. Deze vorm van malware, genaamd “Ransomware”, heeft tot doel bestanden te versleutelen en dan het slachtoffer om losgeld te vragen voor vrijgave van diezelfde bestanden.

CTB-Locker

Hoe te handelen bij een infectie met CTB-Locker?

Op dit moment is het niet mogelijk om de encryptie van CTB-locker te doorbreken. Het is daarom alleen mogelijk om een computer te herstellen middels een backup. Complicerende factor is dat CTB-locker de shadow copies op het systeem probeert te verwijderen. Daardoor is het meestal niet mogelijk om het systeem vanuit shadow copies te herstellen. Indien geen alternatieve backup voor handen is, dan is het waarschijnlijk dat u de bestanden als verloren moet beschouwen. Wellicht dat bepaalde file recovery software nog hulp kan bieden. Wij adviseren in elk geval om niet gehoor te geven aan de eis tot betaling van losgeld.

Heeft u hulp nodig? Neem dan contact op met DearBytes. Bel daarvoor met onze 24-uurs incident response dienst.

Als u zelf aan de slag wilt om de infectie in te dammen en “patient zero” te vinden, dan kunt u de volgende acties ondernemen.

Credits: Deze adviezen zijn geïnspireerd op het eerdere bericht van onze gewaardeerde collega’s van Fox IT aangaande een andere variant van Cryptolocker. Omdat de adviezen van Fox toepasselijk zijn op veel varianten van ransomware hebben wij die zoveel mogelijk overgenomen. Wel vrij vertaald en lichtelijk herzien om aan te sluiten op specifieke kenmerken van CTB-Locker.

  1. Blokkeer toegang tot bepaalde hostnames op het internet. Zie daarvoor de Indicators of Compromise (IoCs) onderaan dit bericht.
  2. Ontneem schrijf- en verwijder rechten op netwerkschijven. De malware gaat namelijk op zoek naar bestanden op mapped network drives en zal deze bij voldoende rechten ook versleutelen.
  3. Identificeer geïnfecteerde systemen:
    1. Achterhaal wie een email heeft ontvangen met een verdachte bijlage. Zie de Indicators of Compromise voor kenmerken die wij hebben herkend in spammails die tot infectie hebben geleid.
    2. Achterhaal welke systemen verbinding hebben gemaakt met kwaadaardige websites. Zie wederom de Indicators of Compromise.
    3. Identificeer geïnfecteerde computers door systemen uit voorgaande stappen te onderzoeken op kenmerken die op systemen waarneembaar zijn.
  4. Haal de geïnfecteerde systemen voorzichtig van het netwerk.
    1. Stop met werken op deze computers
    2. Ontkoppel de systemen fysiek van het netwerk, dus ontkoppel de kabel en/of schakel de WiFi adapter uit
    3. Schakel de systemen niet uit en schoon ze nog niet op om forensisch onderzoek mogelijk te maken. Neem contact met ons op indien u dergelijk onderzoek wenst.
  5. Herstel bestanden vanuit backups. Indien deze niet voorhanden zijn, kunt u professionele hulp inschakelen voor een poging om de verloren bestanden te herstellen.

CTB-Locker Indicators of Compromise (IoCs)

Op basis van de volgende kenmerken kunt u verspreiding of herinfectie door de malware proberen te voorkomen.

***Update 21-jan: McAfee Labs heeft ook een Threat Advisory uitgebracht specifiek voor CTB-Locker.

Email

De emails lijken afkomstig te zijn van een Fax-t0-Email dienst. Wij hebben verschillende subjects voorbij zien komen, zoals beginnend met:

  • Fax2mail (…)
  • [Fax server] (…)

De voorbeelden van emails die wij zelf gezien hebben, bevatten allemaal een .zip bestand als bijlage met daarin de payload als .scr bestand, telkens met een andere filehash.

Er is echter bij ons ook melding gemaakt van een variant waarin de email alleen een URL bevatte om de payload vanaf een website te downloaden.

Een voorbeeld van een email bericht:

CTB-Locker Email

Netwerk

Wij hebben de malware via TOR verbinding zien maken met de volgende hosts:

  • breteau-photographe.com
  • jbmsystem.fr
  • maisondessources.com
  • pleiade.asso.fr
  • scolapedia.org
  • voigt-its.de

Host

Op host niveau zijn de volgende kenmerken te gebruiken om infectie te herkennen.

  • Het belangrijkste kenmerk is waarschijnlijk de waarschuwing die wordt weergegeven door CTB-Locker zelf (zie boven)
  • Nieuwe executable op 1 van de volgende locaties:
    • %AppData%/local (lijkt in deze variant het meest gebruikt)
    • %temp%
    • C:\*.exe
    • %LocalAppData%
    • %ProgramData%

Preventie tegen Ransomware zoals CTB-Locker

Om te beschermen tegen de schadelijke gevolgen van Ransomware, bevelen wij HitmanPro.Alert met CryptoGuard aan. Deze tool van Nederlandse bodem voorkomt versleuteling van bestanden door malware. Functioneel gezien in deze tijd een bijna onmisbare beveiligingslaag. HitmanPro.Alert is ontwikkeld door onze partner SurfRight, en kan gratis worden gedownload vanaf hun website.

Voor andere preventieve maatregelen verwijzen wij naar de volgende PDF van McAfee Labs, uitgebracht op 21 januari. PD25696 Threat Advisory: CTB-Locker

In dit specifieke geval is het ook een aardige gedachte om TOR verkeer vanuit het bedrijfsnetwerk te blokkeren.

*** Update 20-feb: credits aan Fox IT toegevoegd

Nu hulp nodig?

Het DearBytes Incident Response team is continu in staat van paraatheid om u te helpen. Neem telefonisch contact op voor de snelst mogelijke inzet. Klik hier voor meer informatie over deze dienst.

Bel +31(0)251 751 100