CTB-Locker

CTB-Locker
4.7 (94.74%) 19 votes

CTB-Locker est un ransomware/rançonlogiciels qui chiffrent les documents, la famille de malware derrière ce ransomware est Critroni.
Les premières campagnes de CTB-Locker datent de Juin 2014 et visent toutes les versions de Windows.

Ce ransomware se propage essentiellement :

Une fois infecté, tous les documents contenus sur l’ordinateur sont chiffrés et le fond d’écran est modifié.
Les documents peuvent avoir une nouvelle extensions CTB, CTB2 ou encore une extension aléatoire.
Lorsque vous tentez d’ouvrir ces documents, cela peut vous rediriger vers la page du ransomware CTB-Locker.

Voici un exemple de message où vous explique qu’il faut se connecter sur le réseau TOR pour payer la rançon afin de récupérer les documents. Le fond d’écran peut être modifié.

CTB-Locker

CTB-Locker

CTB-Locker

CTB-Locker

Les fichiers chiffrés ont une extension à 7 caractères.

CTB_Locker_fichiers_chiffres

Un autre message vous informant que vos fichiers ont été chiffrés, ce dernier vous communiquent les numéros de séries et vous indique qu’il faut vous connecter sur un site sur le réseau TOR afin de pouvoir déchiffrer vos documents.
Bien sûr il faudra payer la rançon.

Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer.
Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key.
If you see the main locker window, follow the instructions on the locker.
Overwise, it's seems that you or your antivirus deleted the locker program.
Now you have the last chance to decrypt your files.

Open http://ohmva4gbywokzqso.onion.cab or http://ohmva4gbywokzqso.tor2web.org in your browser. They are public gates to the secret server.

If you have problems with gates, use direct connection:

1. Download Tor Browser from http://torproject.org.
2. In the Tor Browser open the http://ohmva4gbywokzqso.onion
Note that this server is available via Tor Browser only.
Retry in 1 hour if site is not reachable.
Copy and paste the following public key in the input form on server. Avoid missprints.
LFSWEK6-RHN4NRV-FVE5UNG-SFH2WFJ-7WYW5VJ-TY76CPZ-HE3GJOG-JVGVBYN
ITHN6JX-M3MS365-HPIGKA5-AKZZ455-HXWCL7Z-BO7ZDVV-FBLQRGU-PNSQTHL
L7KPDCP-NV6I6P7-HRXK6GU-O7EZPK4-K2RRMCA-VQ76JC7-TWJOMC4-WAIUHNH

Follow the instructions on the server.

The list of your encrypted files:

CTB_Locker_message

Il n’existe pas de programmes qui permet de récupérer les documents, la récupération est donc très compromis.
Vous devez néanmoins désinfecter votre ordinateur afin de supprimer toute infection résiduelle.
Normalement CTB-Locker n’est pas résident, actuellement, le ransomware n’embarque pas de fonctionnalité de stealer (vols de mot de passe etc), mais dans le futur ces fonctionnalités peuvent être ajoutées, il est donc recommandé de changer tous ses mots de passe à l’issu de la désinfection.

La procédure gratuite suivante vous guide dans cette désinfection.

En Février 2016, une nouvelle variante est apparue s’attaquant aux sites WEB en GNU/Linux (source : CTB-Locker (Critroni.A))

Supprimer CTB-Locker avec Malwarebytes Anti-Malware

https://www.youtube.com/watch?feature=player_embedded&v=tR-udi9MGU4

Une fois l’ordinateur désinfecté, il est fortement conseillé de changer tous vos mots de passe : Facebook, FTP, mail, jeux en ligne etc.

Supprimer CTB-Locker avec NOD32

Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutorial pour vous y aider : http://www.malekal.com/2010/11/12/scanner-votre-ordinateur-avec-un-antivirus-en-ligne-2/#NOD32

NOD32_ScanEnLigne0

Récupérer vos documents chiffrés par CTB-Locker

il n’y a pas vraiment de solution pour récupérer les documents.

Shadow Copies

Vous pouvez cependant tenter de récupérer des documents à partir des versions précédentes.
Se reporter à la page : Windows : Les versions précédentes des fichiers.
Malheureusement les dernières variantes suppriment les Shadow Copies.

Récupération de fichiers effacés

Vous pouvez tenter des logiciels de récupérations de fichiers effacés tels que PhotoRec ou R-Studio
Se reporter au : Tutoriel PhotoRec

Tutoriel_Photorec_8

Besoin d’aide ?

Si besoin, Vous trouverez une procédure plus complète sur la page suivante : http://forum.malekal.com/desinfection-pups-programmes-parasites-t44500.html

Prenez le temps de lire la partie « Se Protéger » pour éviter de réinstaller des adwares ou programmes parasites.

Pour toute aide personnalisée, vous pouvez créer un sujet dans la partie Virus du forum malekal.com : http://forum.malekal.com/