Обнаружен вариант трояна-шифровальщика CTB-Locker для web-сайтов

После нескольких месяцев относительного затишья вредоносное ПО CTB-Locker, также известное как Critroni, снова появилось в поле зрения ИБ-экспертов. Исследователи обнаружили новый вариант трояна и назвали его «CTB-Locker для web-сайтов». В отличие от более ранних версий, шифрующих файлы на компьютерах жертв, данная разновидность шифрует контент интернет-ресурсов.

Как сообщил владелец сайта BleepingComputer ИБ-эксперт Лоуренс Абрамс(Lawrence Abrams), злоумышленники компрометируют серверы хостинг-провайдеров и заменяют оригинальный index.php или index.html новым index.php. Новый index.php используется для шифрования данных на сайте с помощью 256-битного алгоритма AES и отображения новой домашней страницы с требованием выкупа за расшифровку.

По подсчетам Абрамса, в настоящее время «CTB-Locker для web-сайтов» инфицировал свыше ста ресурсов. Пик активности оригинального CTB-Locker для Windows пришелся на 2014 год, и сейчас он не столь популярен, как шифровальщики TeslaCrypt, CryptoWall и Locky. По мнению исследователя, новому варианту трояна не удастся снискать славу своего предшественника, поскольку у данных на сайтах всегда есть резервные копии, позволяющие с легкостью их восстановить без уплаты выкупа.

Как сообщил Абрамс, ошибки, эксплуатируемые для заражения сайтов CTB-Locker, остаются неизвестными. Эксперт не исключает возможности инфицирования ресурсов с помощью уязвимостей в WordPress.