Curve-Tor-Bitcoin Locker najnoviji je u nizu računalnih virusa koji na moderan način pokušavaju zlonamjernicima priskrbiti izravnu novčanu korist ucjenjivanjem svojih žrtava. Nakon što inficira računalo, najčeše putem elektroničkih poruka koje sadrže zlonamjerni privitak, virus kontaktira upravljački poslužitelj koji se krije unutar Tor mreže te započinje preuzimanje ostatka virusa. Kad je aktiviran, virus pokreće proces nasumičnog naziva na žrtvinom računalu koji započinje šifriranje svih korisničkih podataka. Jednom kad su podaci šifrirani, virus kao pozadinu radne površine postavlja obavijest o učinjenoj šteti a korisnika upućuje na web stranice s uputstvima kako uplatiti otkupninu i spasiti svoje datoteke.
Na žalost, virus koristi vrlo sigurne metode šifriranja i time isključuje mogućnost spašavanja podataka pogađanjem šifre čistom silom (brute force) tj. uzastopnim pokušavanjem pogađanja ključa.
Kako bi se zaštitili od ove i sličnih prijetnji, izuzetno je važno dobro podesiti pravila ograničavanja softvera (Software Restriction Policies) unutar alata za uređivanje grupnih ili lokalnih pravila Windowsa. Potrebno je onemogućiti pokretanje programa iz ovih mapa:
C:\.exe
C:\Users\\AppData\Local\.exe (Vista/7/8)
C:\Users\\AppData\Local\.exe (Vista/7/8)
C:\Documents and Settings\\Application Data\.exe (XP)
C:\Documents and Settings\\Local Application Data\.exe (XP)
%Temp%
Alternativno, ove je postavke moguće automatski podesiti i uz pomoć alata Cryptoprevent (http://www.foolishit.com/vb6-projects/cryptoprevent/).
U nesretnom slučaju zaraze, konkretni koraci koje možete poduzeti su:
- očistiti računalo od virusa kako biste spriječili daljnje širenje zaraze i ponovno aktiviranje zločudnog programa. U tu svrhu možete iskoristiti neki od besplatno dostupnih antivirusnih rješenja ili neki od manjih specijaliziranih alata kao što su ESET Rogue Applications Remover (http://kb.eset.com/esetkb/index?page=content&id=SOLN2372) ili Microsoft Malicious Software Removal Tool (http://www.microsoft.com/security/pc-security/malware-removal.aspx)
- Povratiti oštećene (kriptirane) podatke iz sigurnosnih kopija (backup). Naravno, ako posjedujete kopije podataka.
- Korištenjem alata za povrat obrisanih datoteka (undelete). (https://www.piriform.com/recuva ) (http://www.cgsecurity.org/wiki/PhotoRec). Ovo je moguće jer virus prvo izrađuje kriptiranu kopiju originalne datoteke a zatim briše original i na njegovo mjesto stavlja svoju kopiju. Alati za povrat obrisanih datoteka mogu pomoći u povratu jednog dijela dokumenata. Uspještnost uvelike ovisi o tome koliko je računalo korišteno u međuvremenu tj. što se računalo duže koristi veće su šanse da će obrisani podaci (još uvijek fizički dostupni na disku) biti prepisani novim podacima.
- Ukoliko na raspolaganju nemate sigurnosne kopije podataka, iste možete pokušati povratiti iz sigurnosnih kopija koje izrađuju sami windowsi (Volume Shadow Copies). Radi se o opciji u sklopu koje Windowsi automatski pamte trenutno stanje sustava prilikom svake veće promjene na sustavu. Iako CTB Locker u nekim svojim podverzijama pokušava obrisati ove podatke, u tome ponekad ne uspije te je moguće ovom metodom povratiti dio datoteka. Ovo je moguće desnim klikom na datoteku --> Svojstva --> kartica 'Ranije verzije'. Ako postoje ranije verzije datoteke (prije kriptiranja) moguće je povratiti datoteku u stanje na dan izrade njene sigurnosne kopije. Alternativno, za restauriranje većeg broja datoteka moguće je koristiti alate kao što su Shadow Explorer (http://www.shadowexplorer.com/downloads.html) koji omogućuju pregledniju navigaciju kroz sve datoteke uključene u Shadow Volume kopije.
Posljednje sigurnosne preporuke