Шифровальщик-вымогатель (a.k.a "криптолокер"): новый вид вредоносного кода на сайтах

Сайты и сервера начала одолевать новая напасть – шифровальщик-вымогатель файлов вида ransomware. Сайт взламывают через одну из публичных уязвимостей, загружают бэкдор и через него выполняют шифрование файлов с использованием криптостойких алгоритмов AES + RSA-2048. Для расшифровки необходим ключ, который злоумышленник предоставляет после “выкупа”. Сумма расшифровки – около $400 США.

После работы вредоносного кода сайт выглядит так:


Поскольку криптолокеры используют алгоритм RSA-2048, невозможно подобрать ключи для расшифровки содержимого файлов. Единственный вариант – это восстановление исходных файлов из резервной копии. Поэтому наличие незараженных бэкапов сайта, в случае поражения криптолокером, является жизненно важным.
Чтобы защититься от криптолокеров, мы рекомендуем

1. для всех сайтов на аккаунте хостинга выполнить сканирование на наличие бэкдоров, шеллов и других вредоносных скриптов (например, сделать это можно с помощью сканера AI-BOLIT)
2. установить защиту от взлома, чтобы хакеры не смогли скомпрометировать ваш ресурс. Особенно это касается веб-мастеров, у которых сайты на Joomla/Wordpress/Drupal и старых версиях CMS.
3. убедиться, что на вашем хостинге доступно несколько актуальных версий бэкапов файлов и базы данных, а также должно быть загружено несколько резервных копий на вашем компьютере (например, это можно делать раз в месяц)
4. если у вас выделенный сервер – рекомендуем обратиться к опытному системному администратору для выполнения процедуры  “server hardening”, обновления всех пакетов ОС, установки свежих патчей безопасности и настройки системы предотвращения вторжений и мониторинга. Владельцам серверов следует позаботиться также о регулярном резервном копировании.