Ransomware CTB-Locker atakuje strony i żąda okupu

CTB-Locker chyba doczekał się nowego wcielenia. Tym razem ten złośliwy kod atakuje strony żądając od ich właścicieli pieniędzy za odszyfrowanie danych.

W sieci zaczął grasować ransomware o nazwie CTB-Locker, takiej samej jak ransomware, który na początku 2015 roku zaatakował tysiące komputerów z Windows (niestety nie jest jasne, czy oba szkodniki są ze sobą jakoś powiązane).

Nowe zagrożenie napisane zostało w języku PHP i atakuje serwery szyfrując przede wszystkim dane stron opartych o WordPress. Po instalacji program zastępuje index.php strony i tworzy katalog o nazwie Crypt zawierający także inne skrypty PHP. Na komendę wydaną przez atakującego CBT-Locker rozpoczyna proces szyfrowania wszystkich plików w katalogu WWW serwera. Po jego zakończeniu na stronie głównej atakowanej witryny pojawia się informacja z żądaniem okupu w Bitcoinach za przywrócenie dostępu do danych.

Zobacz również:

Do tej pory łupem ransomware CTB-Locker padło ponad 100 witryn. Jedną z pierwszych była witryna British Association for Counselling and Psychoterapy, co oznaczać może, że cyberprzestępcy mają na celowniku jedynie łakome kąski.

Ransomware CTB-Locker zajęli się specjaliści z Stormshield. Niestety nie udało im się ustalić w jaki dokładnie sposób dochodziło do zainfekowania witryn. Dowiedzieliśmy się jedynie, że zainfekowane hosty działały w oparciu o Linuxa oraz Windows.