«Лаборатория Касперского» сообщает о появлении новой версии шифровальщика CTB-Locker: на этот раз вредоносная программа атакует исключительно веб-серверы.
Впервые об CTB-Locker (другое название — Onion) стало известно ещё летом 2014 года. Этот зловред отличался от других вымогателей тем, что использовал анонимную сеть Tor, чтобы защитить от отключения свои командные серверы. Использование Tor также помогало вредоносной программе избегать обнаружения и блокирования.
И вот теперь появилась более сложная модификация CTB-Locker. Программа зашифровывает файлы в корневых папках веб-серверов и требует в качестве выкупа менее половины биткоина (примерно $150). Если деньги не заплачены вовремя, то размер выкупа удваивается. При этом два файла можно расшифровать бесплатно, но у жертв нет возможности выбрать, какие именно. В случае выполнения требований злоумышленников генерируется ключ для расшифровки файлов.
Пока не ясно, как именно зловред попадает на веб-серверы, но эксперты предполагают, что это может происходить через платформу WordPress, которую веб-серверы часто используют в качестве инструмента управления контентом, либо через её плагины. От атак на веб-серверы страдают не только их владельцы, но и обычные пользователи, которые в результате заражения теряют доступ к необходимому контенту, так как видят страницы в искажённом виде.
Ключ расшифровки хранится на удалённом сервере. Жертвы могут установить контакт со злоумышленником через специальный чат.
В данный момент доступного инструмента расшифровки файлов, закодированных новой версией CTB-Locker, не существует. Между тем, по оценкам, от зловреда пострадали более 70 веб-серверов в десяти странах. Приблизительно четверть из них находится в России.
Более подробную информацию о шифровальщике можно найти здесь.
Источник: