Como eliminar el troyano CTB Locker

0

Muchos usuarios están infectándose últimamente con el troyano CTB Locker. Los últimos titulares hablan de una gran campaña de spam en Francia que arrastra este tipo de infecciones, pero en España corremos el mismo riesgo y cientos o miles de usuarios ya han perdido sus archivos.

CTB vía Spam en Francia

Los emails de tipo spam contienen un archivo adjunto con extensión .cab, junto a un mensaje que afirma proceder de un compañero de trabajo de la víctima. Los emails tienen un aspecto auténtico y aparentan ser facturas que van a diferentes departamentos.

Email de phishing

Como infecta CTB Locker

Un ransomware como CTB Locker intentará siempre cifrar todos los archivos con extensiones consideradas de interés: fotos (JPG/PNG), vídeos (3GP, MP4), Office (PST, XLS, DOC) y similares.

Los emails invitan al usuario a ejecutar el mencionado archivo Cabinet (.Cab), que no es otra cosa que un auto-ejecuttable de Microsoft Office. Una vez accedido, el malware contenido en su interior comienza a trabajar para cifrar todos los archivos de nuestros PC, junto con todas las unidades que encuentra conectadas al equipo y tienen un sistema de archivo reconocido:

  • Discos externos
  • Tarjetas de memoria
  • Smartphones
  • Unidades ópticas

Hora de pagar

La empresa es después urgida a pagar un rescate por sus archivos cifrados. Para conseguir que piensen menos tiempo, el plazo concedido es bastante escaso, unas 72 horas.

Pantalla de bloqueo de CTB Locker

Detalles técnicos de la infección

Normalmente, según las infecciones encontradas en España, el troyano entra a través de una falsa descarga de Adobe Flash Player 10.3. Muchos intentos de infección lo hacen presumiendo ser programas populares como Flash.

Ctb locker - estadisticas

Aparte del cifrado de archivos anteriormente mencionado, CTB Locker crea 3 archivos nuevos:

  1. AllFilesAreLocked 1716900.bmp
  2. DecryptAllFiles 1716900.txt
  3. sunlrad.html

Estos archivos que son en realidad imágenes contienen información en idioma ruso e inglés sobre las modificaciones que acaba de sufrir el equipo y los pasos a seguir por nuestra parte.

Por otro lado, CTB Locker deshabilita el proceso EXPLORER.EXE, un proceso interno del sistema operativo que nos permite la navegación por carpetas y archivos. Por tanto, de ser así observaremos una pantalla en negro, que solo podremos corregir si reiniciamos el equipo.

Algunos archivos que sugieren que estamos infectados:

%TEMP%\[7 caracteres aleatorios].exe
%USERPROFILE%\My Documents\Decrypt All Files [7 caracteres aleatorios].bmp
%USERPROFILE%\My Documents\Decrypt All Files [7 caracteres aleatorios].txt

O cualquier archivo que cuente con una extensión aleatoria de 7 caracteres de longitud.

Como eliminar CTB Locker

Conviene destacar que las versiones de ransomware de este tipo conocidas se borran automáticamente en cuanto los archivos han sido eliminados, siendo la única amenaza residual en el equipo el troyano asociado. Una vez hayamos reiniciado el PC, podremos descargar alguna solución antimalware o disco de recuperación que podamos necesitar.

Podemos utilizar alguno de los siguientes:

Lo que resulta más complicado es conseguir descifrar los archivos secuestrados por CTB Locker. Por supuesto no es recomendable pagar el “ransom”, que cuesta varios cientos de € y no nos garantiza necesariamente la recuperación de nuestros archivos. El pago solicitado es a través de Bitcoins, que es una moneda privada y por tanto no ofrece posibilidad de rastreo hacia los atacantes.

Prevenir es curar

Como decimos siempre en estos casos en que tratamos con Ransomware, es conveniente contar con un sistema de copia de seguridad local o, mejor aún, en la nube, para adelantarnos a este tipo de problemas y poder recuperarlo todo.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR