Ir al contenido principal

CTB-Locker ransomware se extendiende rápidamente e infecta a miles de servidores Web.


The Hacker News

En últimos años, hemos visto un aumento en las amenazas innumerables ransomware que van desde Cryptowall toLocky ransomware descubierto la semana pasada.
Ahora, otro género de ransomware se ha ramificado hacia fuera de la familia de CTB-Locker ransomware con una actualización para infectar "Sitios Web", según Lawrence Abrams ofBleepingComputer.
El recién transformadas ransomware apodado "CTB-Locker para los sitios web" exclusivamente secuestra los sitios web mediante el bloqueo de sus datos, que sólo se puedan descifrar después de hacer un pago de 0,4 BTC.
Esta parece ser la primera vez, cuando en realidad cualquier ransomware ha borrado una página web en un intento de convencer a su administrador para cumplir con la demanda de rescate.

Sin embargo, los administradores de sitios web infectados pueden desbloquear cualquiera de los 2 archivos por el generador aleatorio de forma gratuita como una prueba de las obras clave de descifrado.
Así es como CTB-Locker para los sitios web ransomware Obras
Lawrence explicó que ransomware CTB-Locker sustituye a la página de índice (el index.php original o index.html) de los servidores de alojamiento de sitios web con la página desfiguración del atacante (index.php una nueva afectados).
La página de desfiguración sirve un mensaje informando a los propietarios de los sitios que sus archivos han sido cifrados, y que necesitan para pagar un rescate de un plazo determinado.
Una vez cifrada, los sitios web comprometidos mostrará el siguiente mensaje:

"Sus guiones, documentos, fotografías, bases de datos y otros archivos importantes han sido cifrados con fuerte algoritmo de cifrado AES-256 y clave única, generada por este sitio."

El mensaje también contiene una guía paso a paso que ayuda a las víctimas CTB-Locker para realizar el pago a una dirección Bitcoin específica.

Clave GRATIS para descifrar los archivos Random 2
Poco después de ganar el control de sitio web, el atacante ransomware presenta dos AES-256 claves de descifrado diferentes para el index.php afectada.
La primera clave se utiliza para descifrar los 2 ficheros al azar de los archivos bloqueados de forma gratuita bajo el nombre de "prueba" que se eligen para demostrar el procedimiento de descifrado.
Una vez que el administrador del sitio entra el nombre de archivo y pulsa "descifrar de forma gratuita," jQuery se puso en marcha a petición para probar la clave de descifrado en un servidor C & C. Cuando se recibe la clave, que va a descifrar cualquiera de los 2 archivos al azar y mostrar 'Felicidades! PRUEBA DE ARCHIVOS fueron descifrados !! '
La otra clave de descifrado sería la de descifrar resto de los archivos incautados, después de hacer el pago en Bitcoin al atacante.
Todo el contenido de la página web se cifra usando un algoritmo AES-256, y un identificador único se genera para cada sitio web infectado.
Casi todos los posibles tipos de extensiones de archivos están siendo afectados por la CTB-Locker ransomware.

Sesión en vivo con Los atacantes ransomware
Otra característica única del ransomware está dando a las víctimas la posibilidad de intercambiar mensajes con los atacantes ransomware, señaladas por Lawrence en su entrada de blog.
Los desarrolladores ransomware han organizado una sala de chat de tal manera que las víctimas pudieran hablar con los creadores ransomware después del nombre de la especificación del archivo secreto que está presente en el mismo directorio con index.php.

CTB Locker de sitios web → Modifica paquetes en el servidor
El CTB-Locker para el paquete de sitio web utiliza una variedad de archivos que se describen a continuación:
  • index.php: El componente principal de la CTB-Locker para los sitios web y contiene el cifrado y descifrado de rutinas, así como la página de pago.
  • allenc.txt: Contiene una lista de todos los archivos cifrados.
  • test.txt: Contiene la ruta de acceso y nombres de archivo en dos archivos prechosen que pueda ser descifrado de forma gratuita.
  • victims.txt: Contiene una lista de todos los archivos que se van a cifrar. Sin embargo, los archivos que ya están cifradas permanecerán en esta lista.
  • Extensions.txt - La lista de extensiones de archivo que debería ser cifrado.
  • secret_ [site_specific_string]: El archivo secreto utilizado por las funciones de chat libre y Descifrar y se encuentra en la misma carpeta que el archivo index.php
Mando y Control Ubicación del servidor:
De acuerdo con Benkow Wokned (@benkow_), un investigador de seguridad que descubrió CTB-Locker de sitios web, se encontró que la página index.php utiliza la función jQuery.post () para comunicar y datos POST al mandato del ransomware y los servidores de control (C & C) .
En la actualidad, hay tres servidores de comando y control para CTB-Locker para los sitios web descubiertos por los investigadores:
  • http://erdeni.ru/access.php
  • http://studiogreystar.com/access.php
  • http://a1hose.com/access.php
El ransomware también da un intervalo de tiempo para los administradores de sitios web para recuperar los archivos. Sin embargo, la falta de pago de la BTC en el tiempo se duplicaría la cantidad del rescate por 0,8 BTC.

CTB-Locker para Windows
CTB-Locker para los sitios web no es el único desarrollo más reciente de esta familia de ransomware. El ransomware ha llegado al entorno de Windows mediante el uso de código ejecutables firmado con un certificado robado.
Por lo general, el propósito de la firma digital es autenticar al público sobre la genuinidad de los productos. Los certificados se proporcionan sólo después de una verificación de antecedentes realizado por las autoridades de certificación (CA) como Verizon, DigiCert.
Pero el grupo cibercriminal detrás del ransomware CTB-Locker han manipulado la genuinidad de los certificados digitales. La versión ejecutable en las ventanas de la CTB ransomware viene con una firma digital pre-firmada.

Usos encryptor Raas Por certificado de firma de código
El grupo detrás de la TCC cree que había tomado la ventaja de Jeiphoos, otro desarrollador ransomware que deja que la gente va a su sitio de Tor "cifrador RaaS" que proporciona certificados de firma digital libre y firmar cualquier archivo ejecutable mediante el certificado de firma de código robado.
El acto de robar la firma digital no es nueva, ya que se incluyen en los marcos de los últimos años.
El secuestro de un sitio web de la empresa afectaría económicamente los servicios que se ofrecen a los usuarios a través de sitios web, de remitir el asunto a otro nivel. Sin embargo, la mayor parte se encuentra en el POS (Punto de Venta) de ataque, si la amenaza infecta una página web de e-comercial.
En la actualidad, muchos sitios web habían sido comprometidos por "TCC-Locker de sitios web." De acuerdo con el análisis, se ha encontrado muchos sitios wordpress (la mayoría de las páginas web estáticas) pueden ser objetivo de la TCC Sitio Web Locker.
Dado que esto no es un problema grave como el ransomware Locky que utiliza macros, el administrador del sitio web puede hacer uso de los espejos vírgenes (copias de seguridad) para traer de vuelta el sitio en acción.
Etiquetas:

Entradas populares de este blog

Robar claves encriptadas en Android & iOS

A diferencia de los escritorios, los dispositivos móviles llevan todo tipo de información de sus correos electrónicos personales a sus datos financieros sensibles. Y debido a esto, los  hackers  han cambiado su interés por los escritorios hacia  la plataforma móvil.  Cada semana nuevos exploits que se descubren para iOS y para la plataforma Android , la mayoría de las veces por separado, pero el recientemente descubierto  exploit , tiene como objetivo  Android y  dispositivos IOS. EL equipo de investigadores de seguridad de la Universidad de Tel Aviv, Technion y la Universidad de Adelaida ha ideado un ataque para robar mediante   la tecnica de la criptográfica ,  asi responder a esta  vulnerabilidad  y  para proteger keys, carteras Bitcoin, cuentas de pago de Apple, y otros servicios altamente sensibles de los dispositivos Android y iOS. El mes pasado, el equipo demostró cómo robar datos sensibles d...
Leer más

Anuncios en el bloqueador de pantalla de Windows 10.

Si  has actualizado  tu versión anterior del sistema operativo Windows 10, entonces puede haber notado un anuncio que aparece en el escritorio o pantalla de bloqueo del ordenador portátil durante estos últimos par de días. Sí, esto es lo que Microsoft ha optado por generar ingresos después de ofrecer libre de Windows 10 Descargar a sus usuarios: Monetizar la pantalla de bloqueo . Gracias a la nueva función Spotlight de Windows 10 que por lo general se muestra fotografías de un bonito paisaje y de los datos interesantes sobre la pantalla de bloqueo, pero los anuncios que muestran ahora iniciadas toover 200 millones de dispositivos con Windows 10. Algunos usuarios de Windows 10 han informado de ver anuncios de Rise of the Tomb Raider con enlaces a la tienda de Windows desde donde los usuarios pueden comprar el videojuego. Microsoft empezó a vender este juego el mes pasado. Los anuncios son a causa de la función Spotlight de Windows en l...
Leer más

Un ataque ransomware pone en riesgo a los pacientes de un hospital.

thehackernews Apenas la semana pasada, la Oficina Federal de Investigaciones (FBI) emitió un mensaje urgente "flash" para las empresas y organizaciones sobre la amenaza de Samsam ransomware , pero el ransomware ya ha causado estragos en algunas infraestructuras críticas. MedStar , un grupo sin fines de lucro que hace funcionar 10 hospitales en el área de Baltimore y Washington, fue atacado con Samsam , también conocido como Samas y MSIL , la semana pasada,  encripta los datos sensibles de los hospitales. Después de poner en peligro el sistema médico de MedStar , los operadores del ransomware ofrecieron un trato mayor: 45 bitcoins (alrededor de US $ 18.500) para las claves de descifrado así desbloquear todos los sistemas infectados.    Pero a diferencia de otras empresas u hospitales, MedStar no pagó el rescate para entretener a los piratas informáticos. Por lo tanto, tu podrías  pensar en que los hospitales pierden todos su...
Leer más