What is " CTB Locker " in Cyber Security

 CTB Locker (also known as Critroni or Onion) is a sophisticated strain of crypto-ransomware that first gained notoriety around mid-2014. Unlike standard "locker" ransomware that simply locks a user out of their computer screen, CTB Locker is a file-encrypting trojan that targets specific data files, making them unreadable until a ransom is paid.

The name is an acronym for its three primary technological pillars: Curve, Tor, and Bitcoin.

---

1. The Three Pillars of CTB Locker

The effectiveness of CTB Locker stems from how it integrates these three components to maintain security for the attackers and anonymity for the transactions.

C – Curve (Elliptic Curve Cryptography)

Most ransomware uses RSA encryption, but CTB Locker was one of the first to use Elliptic Curve Cryptography (ECC), specifically the Curve25519 algorithm.

• Advantage: ECC provides the same level of security as RSA but with much smaller key sizes. This allows the malware to perform encryption faster and makes the keys harder to detect in memory.

• Per-File Unique Keys: It generates a unique key for every single file it encrypts, meaning even if one file is somehow recovered, the others remain locked.

T – Tor (The Onion Router)

CTB Locker uses the Tor network to communicate with its Command and Control (C2) servers.

• Advantage: By routing traffic through Tor, the physical location and identity of the hackers' servers are hidden. This prevents law enforcement from shutting down the "nerve center" of the attack easily.

B – Bitcoin

The ransomware demands payment exclusively in Bitcoin.

• Advantage: Bitcoin allows for pseudo-anonymous, irreversible transactions. This makes it the perfect tool for extortion, as the money cannot be "charged back" once the decryption key is (theoretically) sent.

---

2. Technical Workflow: How It Works

The attack typically follows a structured lifecycle:

1. Infection Vector: It usually arrives via Phishing Emails. These emails often look like official faxes, invoices, or utility bills. They contain a .zip or .cab attachment which, when opened, executes a "downloader" (like Dalexis).

2. Execution: The downloader fetches the actual CTB Locker payload from a compromised website and runs it. The malware then copies itself to the %Temp% folder and creates a scheduled task to ensure it runs every time the user logs in.

3. Scanning & Encryption: It scans local drives, removable drives, and even mapped network shares for over 100 different file types (e.g., .doc, .jpg, .pdf, .xls). It then encrypts them and appends a random 7-character extension (e.g., document.docx.ftelhdd).

4. The "Free Test": To prove that they can actually restore the files, CTB Locker often allows the victim to choose 5 random files to decrypt for free. This psychological tactic increases the likelihood that the victim will pay.

5. Extortion: A full-screen ransom note appears with a countdown timer (usually 96 hours). If the deadline passes, the ransom price typically doubles.

---

3. Real-World Examples and Variations

The "Fax" Phishing Campaign (2014–2015)

One of the most widespread examples involved emails with subjects like "Fax Message for You." The attachment was a ZIP file that appeared to contain a document but was actually a malicious .scr (screensaver) file. This campaign targeted thousands of users across Europe and Latin America, specifically focusing on businesses that still used digital faxing services.

CTB-Locker for Websites (2016)

In early 2016, a new variant emerged that targeted Linux web servers instead of Windows PCs.

• The Attack: Instead of encrypting personal photos, it encrypted the entire web root (the files that make a website run).

• The Result: The homepage of the website would be replaced with the ransom note. This was particularly devastating for e-commerce sites that relied on their web files and databases to stay in business.

The Netherlands Telco Campaign

Attackers launched a massive campaign in the Netherlands using near-perfect Dutch grammar. They sent emails pretending to be from a major telecommunications provider, claiming a bill was attached. Because the social engineering was so convincing, it had an unusually high infection rate.

---

4. Prevention and Mitigation

Because CTB Locker uses high-grade encryption, recovering files without a backup is virtually impossible once they are encrypted.

• Offline Backups: The only 100% effective defense is having an offline backup. Since CTB Locker encrypts mapped network drives, a "cloud sync" or a connected external drive might also get encrypted.

• Email Filtering: Use advanced mail gateways to block .zip, .cab, and .scr attachments from unknown senders.

• Disable VSS Deletion Alerts: CTB Locker usually attempts to delete "Shadow Copies" (Windows' internal backup system). Monitoring for commands like vssadmin.exe delete shadows can help detect an active infection.

---

CTB లాకర్ (CTB Locker) అనేది ఒక రకమైన ప్రమాదకరమైన "క్రిప్టో-రాన్సమ్‌వేర్" (Crypto-ransomware). ఇది కంప్యూటర్‌లోని ఫైళ్లను ఎన్‌క్రిప్ట్ చేసి (లాక్ చేసి), వాటిని తిరిగి ఇవ్వడానికి బాధితుల నుండి డబ్బును (రాన్సమ్) డిమాండ్ చేస్తుంది.

దీని పూర్తి పేరులో ఉన్న ప్రతి అక్షరం దాని సాంకేతికతను సూచిస్తుంది: Curve (కర్వ్), Tor (టోర్), మరియు Bitcoin (బిట్‌కాయిన్).

---

1. CTB లాకర్ యొక్క మూడు ప్రధాన స్తంభాలు

CTB లాకర్ విజయవంతం కావడానికి మరియు హ్యాకర్లు దొరకకుండా ఉండటానికి ఈ మూడు అంశాలు కీలకం:

• C – Curve (ఎలిప్టిక్ కర్వ్ క్రిప్టోగ్రఫీ): ఇది ఫైళ్లను లాక్ చేయడానికి Curve25519 అనే అల్గారిథమ్‌ను ఉపయోగిస్తుంది. సాధారణ పద్ధతుల కంటే ఇది చాలా వేగంగా ఫైళ్లను ఎన్‌క్రిప్ట్ చేస్తుంది. దీని ప్రత్యేకత ఏమిటంటే, ప్రతి ఫైల్‌కు ఒక ప్రత్యేకమైన కీని (Key) సృష్టిస్తుంది, దీనివల్ల దీన్ని డీక్రిప్ట్ చేయడం చాలా కష్టం.

• T – Tor (The Onion Router): హ్యాకర్లు తమ సర్వర్లను దాచడానికి Tor నెట్‌వర్క్‌ను ఉపయోగిస్తారు. దీనివల్ల సైబర్ పోలీసులు ఆ సర్వర్లు ఎక్కడున్నాయో కనిపెట్టడం సాధ్యం కాదు.

• B – Bitcoin (బిట్‌కాయిన్): డబ్బును బిట్‌కాయిన్ రూపంలో మాత్రమే చెల్లించాలని హ్యాకర్లు కోరుతారు. బిట్‌కాయిన్ లావాదేవీలు అజ్ఞాతంగా జరుగుతాయి కాబట్టి, ఆ డబ్బు ఎవరికి వెళ్తుందో కనిపెట్టడం అసాధ్యం.

---

2. ఇది ఎలా పనిచేస్తుంది? (Technical Workflow)

CTB లాకర్ మీ కంప్యూటర్‌పై దాడి చేసే విధానం ఇలా ఉంటుంది:

1. ప్రవేశం (Infection Vector): సాధారణంగా ఇది ఫిషింగ్ ఈమెయిల్స్ (Phishing Emails) ద్వారా వస్తుంది. ఉదాహరణకు, మీకు ఏదో బిల్లు వచ్చిందని లేదా కొరియర్ వచ్చిందని నకిలీ ఈమెయిల్స్ పంపిస్తారు. అందులో ఉండే అటాచ్‌మెంట్‌ను క్లిక్ చేయగానే వైరస్ ఇన్స్టాల్ అవుతుంది.

2. స్కానింగ్ మరియు ఎన్‌క్రిప్షన్: ఇన్స్టాల్ అయిన తర్వాత, ఇది మీ కంప్యూటర్‌లోని ఫోటోలు (.jpg), డాక్యుమెంట్లు (.doc, .pdf), వీడియోలు వంటి ముఖ్యమైన ఫైళ్లను వెతుకుతుంది. వెంటనే వాటిని ఎన్‌క్రిప్ట్ చేసి, ఆ ఫైల్ చివర ఒక రాండమ్ ఎక్స్‌టెన్షన్‌ను (ఉదాహరణకు: document.docx.ftelhdd) చేరుస్తుంది.

3. పరీక్ష (Free Test): బాధితులకు నమ్మకం కలిగించడానికి, హ్యాకర్లు ఏవైనా 5 ఫైళ్లను ఉచితంగా డీక్రిప్ట్ చేసుకునే అవకాశం ఇస్తారు.

4. డిమాండ్ (Extortion): చివరగా, కంప్యూటర్ స్క్రీన్ పై ఒక నోటీసు కనిపిస్తుంది. అందులో నిర్దిష్ట సమయంలోగా డబ్బు చెల్లించకపోతే ఫైళ్లన్నీ శాశ్వతంగా డిలీట్ అవుతాయని హెచ్చరిస్తారు.

---

3. కొన్ని ఉదాహరణలు

• నకిలీ ఫ్యాక్స్ మెసేజ్ (Fax Phishing): 2014-15 కాలంలో, "మీకు ఒక ఫ్యాక్స్ మెసేజ్ వచ్చింది" అనే పేరుతో వేలాది ఈమెయిల్స్ పంపబడ్డాయి. అందులో ఉన్న జిప్ ఫైల్‌ను ఓపెన్ చేసిన వారందరి కంప్యూటర్లు CTB లాకర్‌కు చిక్కాయి.

• వెబ్‌సైట్ ఎటాక్స్ (CTB-Locker for Websites): 2016లో కేవలం పర్సనల్ కంప్యూటర్లే కాకుండా, వెబ్‌సైట్లను నడిపించే లైనక్స్ సర్వర్లను కూడా ఇది టార్గెట్ చేసింది. దీనివల్ల మొత్తం వెబ్‌సైట్ ఫైల్స్ లాక్ అయిపోయి, సైట్ పనిచేయకుండా పోయింది.

---

4. రక్షణ చర్యలు

CTB లాకర్ బారిన పడకుండా ఉండాలంటే ఈ జాగ్రత్తలు తీసుకోవాలి:

• ఆఫ్‌లైన్ బ్యాకప్: మీ ముఖ్యమైన ఫైళ్లను ఎప్పుడూ ఒక ఎక్స్‌టర్నల్ హార్డ్ డిస్క్‌లో బ్యాకప్ పెట్టుకోవాలి. అది కంప్యూటర్‌కు ఎప్పుడూ కనెక్ట్ అయి ఉండకూడదు.

• ఈమెయిల్ జాగ్రత్తలు: తెలియని వ్యక్తుల నుండి వచ్చే ఈమెయిల్స్, ముఖ్యంగా జిప్ (.zip) లేదా .exe ఫైళ్లను ఎప్పుడూ ఓపెన్ చేయకూడదు.

• సాఫ్ట్‌వేర్ అప్‌డేట్స్: మీ ఆపరేటింగ్ సిస్టమ్ మరియు యాంటీవైరస్ సాఫ్ట్‌వేర్‌ను ఎప్పటికప్పుడు అప్‌డేట్ చేస్తూ ఉండాలి.