четверг, 25 февраля 2016 г.

CTB-Locker WEB

CTB-Locker для вебсайтов

(шифровальщик-вымогатель)


   Этот криптовымогатель атакует веб-сайты, шифрует их содержимое с помощью AES-256, а потом требует выкуп 0,4 биткойна за доступ к ключу дешифровки. По истечении времени, отведённого на уплату выкупа, эта сумма удваивается до 0,8 биткоина. Активность пришлась на февраль-март 2016. Аббревиатура CTB в названии означает Curve Tor Bitcoin.

  Операторы этого шифровальщика взламывают уязвимые серверы, на которых размещены веб-сайты, и подменяют файл index.php или index.html. Новый index.php используется для шифрования данных на сайте ключом AES-256, а также для отображения новой домашней страницы, на которой сообщается, что случилось с файлами и как заплатить выкуп. 

 Через месяц активности сумма выкупа снизилась с 0,4 BTC до 0,15 BTC (~ $63), а также от 0,8 BTC до 0,3 BTC (~ $125) за просроченные платежи. 

  CTB-Locker использует исполняемые файлы, которые были подписаны украденным сертификатом. Пик активности пришелся на февраль 2016 г. Известно, что злоумышленники атакуют уязвимые сайты, сделанные на платформе WordPress

  Эта итерация CTB-Locker вряд ли будет столь же эффективна, как версия для Windows 2014 года, т.к. на сайтах принято резервировать базу данных и файлы, составляющие основу сайта, можно с легкостью восстановить из бэкапа без уплаты выкупа. 

Часть содержания текста о выкупе:
Your personal files are encrypted by CBT-Locker.
Your scripts, documents, photos, databases and other important files have been encrypted with strongest encryption algorithm AES-256 and unique key, generated for this site.
Decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the decryption key.
Learn more about the algorithm can be here: Wikipedia-link

Перевод на русский язык:
Ваши личные файлы зашифрованы CBT-Locker.
Ваши скрипты, документы, фото, базы данных и другие важные файлы зашифрованы алгоритмом шифрования AES-256 и уникальным ключом, сгенерированный для этого сайта.
Ключ дешифрования хранится на секретном интернет-сервере, и невозможно дешифровать файлы без уплаты выкупа и этого ключа дешифрования. 
Об алгоритме читайте здесь: Википедия-ссылка

Жертве также предлагается прислать вымогателям для бесплатной дешифровки два файла в знак подтверждения наличия декриптера. Для этого нужно ввести секретное имя файла secret_ filename, который находится в той же папке, что и файл index.php, а затем нажать кнопку "Decrypt it free". При успешной дешифровке выйдет сообщение "Congratulations! TEST FILES WAS DECRYPTED!!"  

С оператором вымогателей можно связаться с помощью чата, ссылка на который имеется в самом вверху информационного окна.
  
Список файловых расширений, подвергающихся шифрованию:
.000, .002, .003, .004, .005, .006, .007, .008, .009, .010, .1st,.264, .3D, .3d, .3dm, .3dr, .3ds, .3g2, .3ga, .3gp, .7z, .7zip, .a00, .a01, .a02, .a03, .a04, .a05, .a3d, .aa, .aac, .abr, .accdb, .accdt, .ace, .adadownload, .adp, .ai, .aiff, .air, .alx, .amr, .ani, .ape, .apk, .apng, .app, .application, .appx, .appxbundle, .arc, .arj, .arw, .asec, .asf, .ashx, .asm, .asp, .aspx, .asx, .atom, .avi, .aws, .aww, .azw, .azw3, .bak, .bar, .bas, .bat, .bbb, .bbc, .bc, .big, .bik, .bin, .bkf, .bkp, .blend, .blf, .bml, .bmp, .btm, .bzip2, .c, .c00, .c01, .c02, .c03, .c4d, .cab, .cache, .cal, .cbr, .cbz, .ccd, .cda, .cdr, .cdt, .cfg, .cfm, .cgi, .cgm, .chm, .class, .clear, .clf, .cmd, .cnf, .cnt, .coff, .com, .contact, .cpio, .cpl, .cpp, .cpt, .cr2, .crdownload, .crw, .crypt, .cs, .csh, .cso, .css, .csv, .cue, .daa, .dao, .dash, .dat, .db, .dbf, .dbk, .dbx, .dcr, .dct, .dds, .deb, .deskthemepack, .dgn, .dib, .dic, .dicom, .dif, .djvu, .dlc, .dll, .dmg, .dmp, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .download, .drv, .drw, .dt2, .dta, .dump, .dvf, .dvi, .dvr, .dwfx, .dwg, .dxf, .edi, .elf, .emf, .eml, .emz, .eng, .eot, .eps, .epub, .evtx, .exe, .fb2, .fbx, .fdb, .fig, .fla, .flac, .flv, .fpx, .g64, .gadget, .gb, .gba, .gbk, .gdb, .gdoc, .gho, .gif, .gp4, .gp5, .gpx, .gsheet, .gslides, .gz, .gzip, .h, .h264, .ha, .hdr, .hi, .hqx, .htm, .html, .iba, .ibooks, .icns, .ico, .icon, .ics, .idx, .iff, .ifo, .ihtml, .img, .inc, .ind, .indd, .inf, .ini, .inv, .ipa, .ipd, .ipsw, .iso, .isz, .jad, .jar, .java, .jpe, .jpeg, .jpg, .js, .json, .jsp, .kext, .key, .keynote, .kml, .kmz, .ksd, .lav, .lcf, .ldif, .lha, .lib, .lit, .lng, .lnk, .log, .logic, .lrc, .lrtemplate, .lst, .lwo, .lws, .lzo, .lzx, .m2t, .m2ts, .m3d, .m3u, .m3u8, .m4a, .m4b, .m4p, .m4v, .ma, .mac, .maf, .map, .max, .mb, .mbz, .md, .md5, .mdb, .mdbackup, .mdf, .mdi, .mdl, .mds, .mdx, .mht, .mhtml, .midi, .mkv, .ml, .mmf, .mng, .mobi, .mod, .mov, .mp3, .mp4, .mpd, .mpeg, .mpg, .mpp, .mpt, .mrw, .msg, .msi, .msmessagestore, .msu, .mswmm, .mts, .mui, .mxf, .n64, .nba, .nbf, .nbh, .nbu, .nco, .nds, .nef, .nes, .nfo, .npf, .nrg, .o, .obj, .ocx, .odf, .odg, .ods, .odt, .ofx, .ogg, .ogv, .old, .one, .onepkg, .opml, .orf, .otf, .ott, .out, .ova, .ovf, .oxps, .pages, .pak, .part, .partial, .pas, .pcd, .pcl, .pcm, .pcx, .pdf, .pdn, .pfx, .php, .phtml, .pic, .pkg, .pkpass, .pl, .plist, .pls, .plugin, .pmd, .png, .pos, .pot, .potx, .pps, .ppsx, .ppt, .pptm, .pptx, .prg, .prj, .prn, .pro, .prproj, .prt, .ps, .psb, .psd, .pst, .pts, .ptx, .pub, .pvm, .pwi, .py, .pz3, .pzl, .qif, .r00, .r01, .r02, .r03, .r04, .r05, .r06, .r07, .r08, .r09, .r10, .raf, .rar, .rar, .raw, .rb, .rc, .rec, .ref, .reg, .rem, .rep, .res, .rib, .rmvb, .rom, .rpm, .rsc, .rss, .rtf, .rw2, .safariextz, .sai, .sav, .save, .sbf, .sbu, .scn, .scpt, .scr, .scx, .sd7, .sda, .sdc, .sdd, .sdf, .sdw, .sdxf, .sfcache, .sgml, .sha, .shs, .shtml, .sis, .sisx, .sit, .sitd, .sitx, .skn, .skp, .sldasm, .sldprt, .smc, .smd, .smil, .snd, .sng, .snp, .spb, .spr, .sql, .sqlite, .src, .srm, .srt, .stdf, .stl, .stm, .stp, .sub, .sup, .svg, .svp, .swf, .swp, .sxc, .sxw, .sys, .tao, .tar, .tar.gz, .tbl, .tc, .temp, .template, .tex, .texinfo, .text, .tga, .tgz, .theme, .themepack, .thm, .thmx, .tib, .tif, .tiff, .tmp, .toast, .tod, .torrent, .tp, .tpl, .trm, .troff, .ts, .ttc, .ttf, .txt, .u3d, .uax, .uif, .unity, .upd, .upg, .usr, .ut, .uts, .v64, .vbs, .vcd, .vcf, .vdi, .vhd, .vmdk, .vmem, .vmwarevm, .vmx, .vob, .vsd, .vsdx, .vsm, .vue, .vxd, .wav, .wba, .wbcat, .wbmp, .wdb, .wdp, .webarchive, .webm, .webp, .wif, .wire, .wlmp, .wma, .wmf, .wmv, .woff, .wotreplay, .wowpreplay, .wpd, .wpl, .wps, .wri, .x, .x_t, .x3d, .xap, .xhtml, .xls, .xlsm, .xlsx, .xmi, .xml, .xpi, .xpm, .xps, .xsd, .xsl, .xslt, .xz, .z01, .z02, .z03, .z04, .z05, .zip, .zoo (591 расширение). 

Связанные с CTB-Locker файлы веб-сервера:
[web_site_document_root]/index.php — основной компонент CTB-Locker для процедур шифрования и дешифрования и вывода страницы оплаты;
[web_site_document_root]/allenc.txt — список всех зашифрованных файлов;
[web_site_document_root]/test.txt — содержит пути к именам двух заранее определенных файлов, которые предлагается расшифровать бесплатно;
[web_site_document_root]/victims.txt — список всех файлов, которые будут зашифрованы;
[web_site_document_root]/extensions.txt — список расширений файлов, которые будут зашифрованы;
[web_site_document_root]/crypt/secret_[victim_specific_name] —  секретный файл, который нужно приложить при дешифровке двух файлов и активации чата; файл находится в той же папке, что и файл index.php;
[web_site_document_root]/temp
[web_site_document_root]/robots.txt
[web_site_document_root]/crypt/

К сожалению, пока нет никакого бесплатного способа дешифровки файлов сайтов, зашифрованных CTB-Locker, и единственный способ для восстановления файлов — использовать резервные копии. Любой пострадавший от этого вымогателя должен обратиться к своему хостинг - провайдеру, чтобы определить, каким образом был взломан сайт и посмотреть, если у них есть резервные копии баз вашего сайта. 

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *