Автор:
После нескольких месяцев относительного затишья вредоносное ПО CTB-Locker, также известное как Critroni, снова появилось в поле зрения ИБ-экспертов. Исследователи обнаружили новый вариант трояна и назвали его «CTB-Locker для web-сайтов». В отличие от более ранних версий, шифрующих файлы на компьютерах жертв, данная разновидность шифрует контент интернет-ресурсов.
Как сообщил владелец сайта BleepingComputer ИБ-эксперт Лоуренс Абрамс(Lawrence Abrams), хакеры компрометируют серверы хостинг-провайдеров и заменяют оригинальный index.php или index.html новым index.php. Новый index.php используется для шифрования данных на сайте с помощью 256-битного алгоритма AES и отображения новой домашней страницы с требованием выкупа за расшифровку.
По подсчетам Абрамса, в настоящее время «CTB-Locker для web-сайтов» инфицировал свыше 100 ресурсов. Пик активности оригинального CTB-Locker для Windows пришелся на 2015 год, и сейчас он не столь популярен, как шифровальщики TeslaCrypt, CryptoWall и Locky. По мнению исследователя, новому варианту трояна не удастся снискать славу своего предшественника, поскольку у данных на сайтах всегда есть резервные копии, позволяющие с легкостью их восстановить без уплаты выкупа.
Ошибки, эксплуатируемые для заражения сайтов CTB-Locker, остаются неизвестными. Однако, эксперты не исключает возможности инфицирования ресурсов с помощью уязвимостей в WordPress.
