CTB-Locker for Websites:首款专门针对 Web 网站的新型勒索软件

admin 2022年4月9日23:36:57评论40 views字数 3132阅读10分26秒阅读模式
勒索软件一直以来都是网络安全的重大威胁之一,经过几年的发展,勒索软件已经衍生出多类变种,该类恶意软件通过加密用户数据,向用户勒索比特币获利。由于加密后的数据很难恢复,因此很多情况下用户为恢复数据不得不向勒索者支付赎金。


勒索软件变种之路
自 2015 年起,勒索软件开始大规模在中国传播,曾经只在国外传播的勒索软件变种也纷纷登陆中国。以前的勒索软件只针对个人用户,仅加密用户个人数据,然而,这并不能满足勒索者日益膨胀的贪婪之心。最近,针对服务器的勒索软件也纷纷崭露头角。
2 月底,首款针对 Web 网站的新型勒索软件变种 CTB-Locker for Websites 诞生,其主要针对 WordPress 网站,通过 WordPress 漏洞获取网站访问权,并加密网站数据,导致网站无法正常运营,并以此向网站管理员勒索相应金额的比特币,否则网站数据将无法恢复。昨日(3月29日),美国一家医院网站受到勒索软件感染,据了解,这是一款专门针对 JBoss 服务器的新型勒索软件,安全研究人员将它命名为 SamSam 。勒索软件 SamSam主要利用未修复的 JBoss 服务器漏洞进行传播和感染,JBoss 服务器一旦感染 SamSam,服务器上部署的所有网站文件都会被加密,不交赎金,网站就无法正常运营。首款针对 Web 网站的新型勒索软件变种 CTB-Locker for Websites 本文将重点介绍。
千里百科
CTB-Locker ,又名 Critroni,是一款 Windows 平台勒索软件,于 2014 年夏天大规模传播,随后逐渐销声匿迹。近日,一款被称为 “CTB-Locker for Websites” 的新型 CTB-Locker变种开始传播,另一款变种 “CTB-Locker for Windows” 也呈现出爆发趋势。虽然暂时活跃度不及 TeslaCrypt 、 CryptoWall 以及 Locky 等勒索软件,但是这种加密网站的新型勒索方式必将成为勒索者获取利益的更优选项。
CTB-Locker for Websites 专门针对 Web 网站,网站一旦被加密,将显示如下提示信息:
CTB-Locker for Websites:首款专门针对 Web 网站的新型勒索软件
CTB-Locker for Websites 允许受害者免费解密两个文件并可以与勒索者在线聊天。
不幸的是,除了通过备份数据恢复文件,目前没有其他方法可以解密已加密的数据,受害者请及时与服务提供商联系以确认网站是如何被加密的,并确认是否有备份数据可用。
以下详细分析 CTB-Locker for Websites 的加密过程、免费解密行为以及受害者如何与勒索者通信。
CTB-Locker for Websites 攻击过程
虽然目前尚不可知 CTB-Locker for Websites 是如何加密网站数据的,但是已有案例显示该勒索软件主要针对存在漏洞的 WordPress 网站。一旦感染成功,将网站原有的 index.php或 index.html 文件重命名为 original_index.php 或 original_index.html ,随后上传一份新的 index.php 文件,该文件用于对受害网站进行加解密以及显示勒索信息。值得一提的是若网站没有使用 PHP,则 CTB-Locker for Websites 将无法工作。
一旦加密程序开始运行,勒索者将首先向 index.php 文件中写入两个基于 AES-256 算法的  key,其中一个用于加密两个预先选择的文件,受害者可免费解密;另一个用于加密其他文件。
CTB-Locker for Websites 将首先使用测试 key 加密两个后期可免费解密的文件,随后生成一份满足特定扩展名的文件列表,所有满足条件的文件将被使用 AES-256 算法加密。待加密文件扩展名保存在 [web_site_document_root]/extensions.txt  文件中,主要包括以下扩展名:
CTB-Locker for Websites:首款专门针对 Web 网站的新型勒索软件
但是 CTB-Locker for Websites 为正常运行,以下主要文件将不会被加密:
[web_site_document_root]/index.php: CTB-Locker for Websites 主模块,包含加密解密程序及支付页面。
[web_site_document_root]/allenc.txt: 已加密文件列表。
[web_site_document_root]/test.txt: 预先选择的两个可免费解密的文件路径及文件名。
[web_site_document_root]/victims.txt: 待加密文件列表,已加密的文件依然保留在该文件中。
[web_site_document_root]/extensions.txt: 需加密的文件扩展名列表。
[web_site_document_root]/secret_[site_specific_string] : 与 index.php 同目录下,以加密形式存储,用于免费解密以及与勒索者在线聊天。
Index.php 利用 jQuery.post() 与 C&C 服务器通信,并post数据。目前已发现的C&C地址如下:
http://erdeni.ru/access.php
http://studiogreystar.com/access.php
http://a1hose.com/access.php
免费解密两个文件
CTB-Locker for Websites 允许受害者免费解密两个预先选择的文件,这两个文件是在网站第一次被加密的时候随机选择的,受害者不可以自行选择免费解密的文件。
免费解密时,用户需要输入文件名以及与 index.php 同一目录下的 secret_ 文件,一旦点击 Decrypt it free 按钮之后,将发送请求消息到一台 C&C 服务器,用于测试解密 key 是否有效,一旦验证通过,选择的两个文件将被加密,并显示“ Congratulations! TEST FILES WAS DECRYPTED!! ”消息。
CTB-Locker for Websites:首款专门针对 Web 网站的新型勒索软件
与勒索者在线聊天
CTB-Locker for Websites 提供了一个聊天室,允许受害者同勒索者在线聊天,受害者输入消息以及 index.php 同目录下的 secret_ 文件名即可,若 secret_ 文件名输入错误,将无法正常收发消息。
CTB-Locker for Websites:首款专门针对 Web 网站的新型勒索软件
CTB-Locker for Windows 使用盗版证书签名
CTB-Locker for Websites 并非是该勒索软件最新变种的唯一版本,使用盗版证书签名的 Windows 版本已经出现。软件开发者往往通过向权威的证书颁发机构购买签名证书,通过签名来保证自己的软件不会被盗版及修改。
另一位名为 Jeiphoos  的勒索软件开发者允许人们通过 Tor 访问他的 Encryptor RaaS  网站,并可以使用盗版证书签名任何可执行程序。目前来看,CTB-Locker 背后组织使用了该免费服务,因为他们的签名与 Jeiphoos  提供的完全一样。
如下图所示,CTB-Locker 安装程序与使用 Jeiphoos  网站签名的测试程序签名完全一致:
CTB-Locker for Websites:首款专门针对 Web 网站的新型勒索软件
防御建议
目前,黑客已经利用这些针对特定 Web 网站和服务器的勒索软件尝到了甜头,后续可能会有更多针对网站和服务器的漏洞被勒索软件利用。千里目安全实验室提醒用户:
1、增强网络安全意识,及时更新网站补丁,升级服务器至最新版本。
2、定期备份网站内容,存放于安全的存储空间。
3、建议使用下一代防火墙,防御针对web网站的攻击。


CTB-Locker for Websites:首款专门针对 Web 网站的新型勒索软件


本文由千里目安全实验室翻译&整理

参考链接:http://www.bleepingcomputer.com/news/security/ctb-locker-for-websites-reinventing-an-old-ransomware/

原文始发于微信公众号(深信服千里目安全实验室):CTB-Locker for Websites:首款专门针对 Web 网站的新型勒索软件

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月9日23:36:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CTB-Locker for Websites:首款专门针对 Web 网站的新型勒索软件http://cn-sec.com/archives/785800.html

发表评论

匿名网友 填写信息