После нескольких месяцев относительного затишья вредоносное ПО CTB-Locker, также известное как Critroni, снова появилось в поле зрения ИБ-экспертов. Исследователи обнаружили новый вариант трояна и назвали его “CTB-Locker для web-сайтов”. В отличие от более ранних версий, шифрующих файлы на компьютерах жертв, данная разновидность шифрует контент интернет-ресурсов.
Как сообщил владелец сайта BleepingComputer ИБ-эксперт Лоуренс Абрамс (Lawrence Abrams), злоумышленники компрометируют серверы хостинг-провайдеров и заменяют оригинальный index.php или index.html новым index.php. Новый index.php используется для шифрования данных на сайте с помощью 256-битного алгоритма AES и отображения новой домашней страницы с требованием выкупа за расшифровку.
По подсчетам Абрамса, в настоящее время “CTB-Locker для web-сайтов” инфицировал свыше ста ресурсов. Пик активности оригинального CTB-Locker для Windows пришелся на 2014 г., и сейчас он не столь популярен, как шифровальщики TeslaCrypt, CryptoWall и Locky. По мнению исследователя, новому варианту трояна не удастся снискать славу своего предшественника, поскольку у данных на сайтах всегда есть резервные копии, позволяющие с легкостью их восстановить без уплаты выкупа. Как сообщил Абрамс, ошибки, эксплуатируемые для заражения сайтов CTB-Locker, остаются неизвестными. Эксперт не исключает возможности инфицирования ресурсов с помощью уязвимостей в WordPress. (Новости/NovostIT)