CTB-Locker Ransomware击中100多个网站
在过去的几周内,将在Web服务器上加密文件的新恶意程序在过去几周内至少影响了100个网站,从而发挥着赎金软件开发的新趋势。
写入PHP的程序称为CTB-Locker,该名称也用于Windows计算机的最广泛的Ransomware程序之一。它不清楚是否存在这种基于Web的赎金软件和Windows版本之间的关系。
一旦安装在Web服务器上,程序替换了站点的index.php,并创建一个名为crypt的目录,其中包含其他php文件。它开始在从攻击者接收到专制的请求时加密服务器的Web目录中的所有文件。
加密过程完成后,网站的主页将显示一条消息,要求在比特币中进行付款。
2月12日报告了第一次攻击该基于Web的CTB-Locker版本的攻击,当时英国咨询和心理治疗协会的网站降低了受害者。
它在网站是否受到真正的赎金软件攻击的影响时立即清楚,或者只是试图吓唬网站所有者。有些人是可理解的,因为CTB-Locker名称以前只与Windows Ransomware相关联。
STORMSHIELD,空中客车防御和空间的子公司的研究人员已经设法从另一个受影响的网站获取了恶意代码的完整副本。事实上,他们发现了102个网站,它到目前为止已经感染了这个基于Web的赎回金。
尚不清楚攻击者如何获得这些网站的攻击者如何安装CTB-Locker。伪装在一个流行的内容管理系统(CMS)中的特定漏洞很难,因为一些受影响的网站没有使用CMS,StormShield研究人员在星期五的博客帖子中说。
他们说:“受感染的主机运行Linux和Windows以及其中大多数(73%)主机exim服务(SMTP服务器),”他们说。“他们中的一些人很容易受到ShellShock的影响,但没有深入访问受害者”服务器,很难了解这个勒索软件感染的主人。“
大多数受影响的网站也安装了密码保护的Web shell。这是一系列攻击者在Web服务器上安装一系列攻击者,一旦他们获得未经授权访问它们。
CTB-Locker不是目标网站的第一个勒索软件。11月,研究人员发现了类似的威胁Dubbed Linux.encoder.1,但该程序似乎是实验性的,并允许研究人员创建解密工具的加密缺陷。
Linux.encoder.1可能是对其他勒索软件创建者的启发,显示针对Web服务器的这种攻击是可行的。因此,CTB-Locker可能不是加密网站的最后一次勒索软件程序。
