De CTB Locker (Curve-Tor-Bitcoin Locker) ook bekend onder de naam "Critroni.A" is een ransomware-variant die bestanden op uw computer versleuteld. Deze ransomware scant als het ware de computer en versleuteld bepaalde bestanden zodat deze niet meer toegankelijk zijn. Dit zijn voornamelijk; documenten, foto's en bijvoorbeeld componenten van programma's. Essentiële bestanden van het besturingssysteem worden over het algemeen niet versleuteld. Van de CTB Locker zijn er meerdere varianten in omloop, deze maken gebruik van Elliptic curve cryptography (ECC) waarbij de communicatie met de Command and Control server via het TOR netwerk verloopt.

Deze ransomware versleuteld echter niet alleen bestanden op lokale harde schijven of partities. Ook externe schijven, usb-sticks en gedeelde netwerkmappen worden door de CTB Locker gescand om bestanden te versleutelen. Wanneer dit proces van de malware is voltooid zal de bureaubladachtergrond worden aangepast. Dit scherm toont onder andere informatie over het feit dat de bestanden versleuteld zijn. Verder bevat het de instructies voor het betalen van de ransomware en het ontsleutelen (decrypten) van de bestanden. Bij sommige ransomware is het betalen een remedie om een private key te verkrijgen, echter is het van deze variant niet bekend of dit ook zo is. Het advies is dan eigenlijk om niet direct tot betaling over te gaan, de kans dat u uw geld kwijt bent en de bestanden versleuteld blijven is zeer groot.

De cybercriminelen die achter de CTB Locker schuil gaan willen natuurlijk maar al te graag dat u voor de ransomware betaald. Na 96 verschijnt er namelijk een nieuwe melding als u de versleutelde bestanden probeert te openen. Dit scherm geeft dan aan dat de tijd is verstreken waarop u de ransomware kunt betalen, echter wordt je via dit scherm ook weer aangespoord om bij de malware-site de ransomware te betalen. Opmerkelijk bij deze variant is dat er wel de mogelijkheid is om vijf bestanden gratis te ontsleutelen. Uiteraard is dit ook een vorm van social-engineering, om als het ware te bewijzen dat bestanden hersteld kunnen worden en zo mensen eerder tot betaling te laten overgaan.

De onderstaande afbeeldingen zijn verkleind, klik op de thumbnail voor een vergroting.

Hoe verwijderen ik de CTB Locker en kan ik mijn bestanden terughalen?
Door de jaren heen zijn er al verschillende ransomware-varianten geweest die bestanden versleutelen. Voor sommige varianten was het mogelijk om een decrypter te maken, echter zullen deze bij de CTB Locker niet werken. Ook de gebruikte encryptie-methode maakt het eigenlijk onmogelijk om hiervoor een tool te ontwikkelen die de versleutelde bestanden kan herstellen. De CTB Locker maakt echter vooraf het versleutelen een kopie aan van het originele bestand, deze wordt nadat de encryptie succesvol is uitgevoerd weer verwijderd. Hierdoor is het dus mogelijk om met speciale recovery programma's een kopie van het versleutelde bestand terug te halen.

Belangrijk is wel om de schrijfacties op het systeem te beperken, ga dus bijvoorbeeld niet direct met systeemherstel van Windows aan te slag. De kans dat u hiermee het probleem oplost en uw bestanden hersteld is nihil. De kans is echter groter dat het herstellen van de bestanden juist nadelig wordt beïnvloed. Ook het scannen met diverse virusscanners en andere anti-malware software kan nadelig zijn. Het kwaad is immers al geschied en dan is het in de eerste plaats (eigenlijk) belangrijker om versleutelde bestanden te herstellen dan de aanwezige malware te verwijderen. Onderstaand treft u diverse mogelijkheden om één en ander te herstellen.

Voorzorgsmaatregelen
Voordat u begint met het herstellen van versleutelde bestanden is het aanbevolen om het systeem van het internet en netwerk af te sluiten. Hiermee voorkomt u immers dat de malware nog kan communiceren met de Command en Controle server. Werk bij voorkeur vanuit de veilige modus, de malware in de meeste gevallen dan niet actief en kan deze niet het herstelproces nadelig beïnvloeden.

Bestanden herstellen via een schaduwkopie

Wat is een schaduwkopie?
Wanneer u systeemherstel heeft ingeschakeld op de computer worden automatisch schaduwkopieën gemaakt. Schaduwkopieën maken het mogelijk om bijvoorbeeld oude bestanden te herstellen via de optie "Vorige versies herstellen" wanneer u met de rechtermuisknop op een document. Deze methode is echter niet helemaal waterdicht, zo kan het voorkomen dat sommige bestanden niet de laatst aangepaste versie zijn. Daarenboven probeert de infectie alle schaduwkopieën te verwijderen waardoor uw bestanden mogelijks niet hersteld kunnen worden. Gelukkig slaagt de infectie hier niet altijd in en blijft dit een methode die zeker het proberen waard is!

We bespreken in dit artikel 2 methodes om de bestanden te herstellen, probeer gerust beide methodes uit om te zien welke het beste voor u werkt.

Methode 1: Standaard Windows functies

Om individuele bestanden te herstellen kan u onder Eigenschappen op de Vorige Versies tab klikken. Hier verschijnen alle vorige versies die opgeslagen zijn in de schaduwkopie gesorteerd op datum.
Om een bestand te herstellen klikt u op Kopieer... en selecteert u de map waar u het bestand wilt opslaan. Indien u het originele bestand wilt overschrijven klikt u op Herstellen. Wenst u de inhoud van het bestand te bekijken alvorens u het herstelt, dan klikt u op Openen. Dezelfde methode kan gebruikt worden bij mappen.

Methode 2: Shadow Explorer

Download het programma Shadow Explorer naar het bureaublad.
Wanneer u het programma start krijgt u een lijst te zien met alle data en schijven waarop een shaduwkopie aanwezig is. Selecteer de schijf (blauwe pijl) en datum (rode pijl) waarvan u de bestanden wilt herstellen.
Om een volledige map te herstellen rechtsklikt u op de map en kiest u Export en geeft u een locatie op waarnaar de vorige versie hersteld moet worden.

Bestanden herstellen met recovery software
Zoals eerder vermeld is het onder bepaalde omstandigheden mogelijk om met recovery software het origineel van de versleutelde bestanden terug te halen. Hierbij is het wel belangrijk dat u het systeem verder niet gebruikt, en de schrijfacties op het systeem tot het minimum beperkt. Voor het terughalen van bestanden is er diverse gratis software beschikbaar. R-Studio en PhotoRec zijn hier twee voorbeelden van. Maar uiteraard zijn er meerdere tools die u hiervoor kunt gebruiken, op de onderstaande links treft u meer informatie. Maak voor het herstellen van de bestanden bijvoorbeeld gebruik van een externe schijf of usb-stick die u enkel gebruikt voor het opslaan van herstelde bestanden. Zodra u alle bestanden of de meest belangrijke heeft hersteld kunt u overgaan tot het verwijderen van de CTB Locker en nadien alles herstelde bestanden terugplaatsen en natuurlijk grondig controleren met anti-malware software.

• File Recovery verwijderde bestanden
• File Recovery na een quickformat

Bestanden herstellen via eerdere gemaakte back-ups
Wanneer u met regelmaat back-ups heeft gemaakt is dit natuurlijk de meest makkelijke manier om versleutelde bestanden te herstellen. Als u beschikt over een complete (schone) systeemimage is het aanbevolen om hier gebruik van te maken. Hiermee zal de computer tevens direct weer malwarevrij zijn. Wanneer u enkel een back-up op bestandsniveau heeft dan dient de computer als eerste opgeschoond te worden, hiervoor kunt u de onderstaande stappen volgen.

Download de Farbar Recovery Scan Tool 32 of 64 bit van één van de onderstaande links

• Farbar Recovery Scan Tool 32 bit (x86)
• Farbar Recovery Scan Tool 64 bit (x64)

Hier staat een beschrijving hoe u kunt kijken of u een 32 of 64 bit versie van Windows heeft.

Farbar Recovery Scan Tool uitvoeren

• Dubbelklik op FRST.exe om de tool te starten.
• Windows Vista, 7 en 8 gebruikers dienen de tool als "administrator" uit te voeren door middel van de rechtermuisknop en kiezen voor Als Administrator uitvoeren.
• Als het programma is geopend klik Yes (Ja) bij de disclaimer.
• Druk vervolgens op de Scan knop, er zal nu eerst een back-up van het register worden gemaakt.
• Wanneer de scan gereed is worden er twee logbestanden aangemaakt met de naam (FRST.txt) & (Addition.txt) op dezelfde plaats vanwaar de 'tool' is gestart.

Logbestanden plaatsen op het forum

Hoe kan ik voorkomen dat ik met de CTB Locker geïnfecteerd raak
In de eerste plaats is het natuurlijk belangrijk om een goed beveiligingspakket te gebruiken. Dit is natuurlijk enkel de basis en zal nooit 100% bescherming kunnen bieden. Daardoor is het gebruik van aanvullende beschermingslagen essentieel voor een optimale beveiliging. Hierbij moet u onder andere denken aan beveiligingssoftware die u naast de reguliere virusscanner kunt gebruiken. Maar bijvoorbeeld ook een uitgebreidere firewall die bijvoorbeeld uitgerust is met een HIPS (Host Intrusion Prevention System). Wanneer u persoonlijk advies wenst over het beveiligen van uw computer dan kunt u uw vraag stellen in het onderstaande forum.

• Computerbeveiliging (Antivirus & Anti-Malware)

CryptoPrevent
FoolishIT LLC heeft een speciaal programma ontwikkelt met betrekking tot de preventie tegen deze ransomware. Dit programma kunt u via deze link downloaden. In het hoofdvenster staat standaard de "Default" bescherming geselecteerd, hierdoor zal de kans op het geïnfecteerd raken met deze ransomware een stuk kleiner zijn. Helaas biedt ook dit geen 100% garantie, en zeker niet bij nieuwe (zero-day) ransomware. Voor meer zekerheid kan er gebruik gemaakt worden van de maximale bescherming. Enig nadeel is wel dat er conflicteren en problemen kunnen ontstaan bij het gebruik en installeren van software op uw computer. Via het menu en de optie Advanced kunt u zelf bepalen welke onderdelen van het systeem u wilt aanpassen. Gebruik deze optie bij voorkeur alleen als u zeker weet waar u mee bezig bent.
HitmanPro CryptoGuard
De ontwikkelaars achter HitmanPro zijn druk in de weer met het ontwikkelen van preventie software. Zo bracht HitmanPro.Alert vorig jaar een nieuw softwarepakket uit: HitmanPro CryptoGuard. Dit programma biedt pro-actief bescherming tegen ransomware die de bestanden op de computer versleuteld. Binnenkort zou versie 3 verschijnen waarbij de pro-actieve bescherming tegen de crypto-lockers nog verder geoptimaliseerd zou zijn. Uiteraard detecteert dit programma nog meer ransomware varianten dan alleen CryptoDefense.

• HitmanPro CryptoGuard

Malwarebytes Anti-Exploit
Met Malwarebytes Anti-Exploit beperkt u de kans dat uw computer geïnfecteerd raakt door een van de kwetsbaarheden in uw browser (exploits). Dit softwarepakket richt zich in de eerste plaats op het bewaken van de toegang tot uw computer, daar waar HitmanPro CryptoGuard het programma gedrag in de gaten houdt. Beide programma's bieden een uitstekende bescherming als aanvulling op uw huidige antivirus en firewall.

• Malwarebytes Anti-Exploit