Вымогатель CTB-Locker, он же Critroni, вышел из продолжительной спячки и обрел новый объект для приложения усилий: он начал атаковать веб-сайты. Исследователи нарекли этот вариант CTB-Locker for Websites; обновленный блокер шифрует содержимое сайтов и требует 0,4 биткойна ($425) за доступ к ключу для расшифровки.
Предупреждая о появлении CTB-Locker for Websites, Лоуренс Абрамс (Lawrence Abrams), специалист по интернет-угрозам и основатель BleepingComputer, отметил, что операторы этого зловреда взламывают серверы, на которых размещены веб-сайты, и подменяют файл index.php или index.html.
«Новый index.php используется для шифрования данных на сайте ключом AES-256, а также для отображения новой домашней страницы, на которой рассказывается, что случилось с файлами и как произвести оплату выкупа», — пишет Абрамс в своей блог-записи.
CTB-Locker, получивший большое распространение в 2014 году, не столь плодовит, как TeslaCrypt, CryptoWall или Locky. Вариант CTB-Locker for Websites обнаружил исследователь, известный под псевдонимом Benkow wokned; обновленный зловред, по оценке Абрамса, уже поразил более сотни сайтов. Тем не менее эта итерация CTB-Locker, по мнению эксперта, вряд ли будет столь же эффективна, как Windows-версия: на сайтах принята практика резервирования, и зашифрованные файлы можно с легкостью восстановить из бэкапа безо всякого выкупа.
Какую уязвимость использует CTB-Locker for Websites, пока неясно. Абрамс полагает, что злоумышленники атакуют уязвимые WordPress-сайты. В их сообщении, отображаемом на зараженном сайте, сказано: «Ваши скрипты, документы, фото, базы данных и другие важные файлы зашифрованы с помощью криптостойкого алгоритма AES-256 и уникального ключа, сгенерированного для данного сайта». Примечательно, что текст инструкции по оплате предваряет ссылка на совет ФБР «просто уплатить выкуп».
Для пробы жертве предлагается выбрать два файла, которые будут расшифрованы бесплатно. Вымогатели также предоставляют пострадавшим возможность связаться с ними с помощью чат-сообщений.
Ссылаясь на исследование Benkow wokned, Абрамс приводит данные о коммуникациях CTB-Locker for Websites: для обмена с C&C-серверами и отправки данных зловред использует функцию jQuery.post(). На настоящий момент обнаружены три командных сервера CTB-Locker for Websites, в доменах erdeni[.]ru, studiogreystar[.]com и a1hose[.]com.