CTB Locker勒索软件迅速传播，感染了数千台网络服务器

阿农的学习日记 lv.1

发布时间：2022-05-25 15:35:39 413

相关标签： # 服务器# 研究# 服务器# 支付# 黑客

现在，勒索软件的另一种类型已经从CTB储物柜勒索软件通过更新感染网站。

新改造的勒索软件被称为“CTB网站储物柜“只通过锁定其数据来劫持网站，这些数据只有在支付0.4 BTC后才能解密。

这似乎是第一次有任何勒索软件实际破坏网站，试图说服其管理员遵守勒索要求。

然而，受感染的网站管理员可以通过随机生成器免费解锁任意2个文件，作为解密密钥工作的证明。

劳伦斯解释说，CTB储物柜勒索软件取代了索引页(原始索引。php或索引。html)托管带有攻击者破坏页面的网站的服务器(一个新的受影响指数。php).

涂改页面提供一条消息，通知网站所有者他们的文件已被加密，他们需要在某个截止日期前支付赎金。

一旦加密，受损网站将显示以下消息：

“您的脚本、文档、照片、数据库和其他重要文件已使用为该网站生成的最强加密算法AES-256和唯一密钥加密。”

该消息还包含一个分步指南，帮助CTB储物柜受害者向特定比特币地址付款。

在获得网站控制权后不久，勒索软件攻击者向受影响的索引提交两个不同的AES-256解密密钥。php。

第一个密钥将用于免费解密锁定文件中的任意两个随机文件，其名称为“测验“选择它们来演示解密过程。

一旦站点管理员输入文件名并点击“免费解密，“在C&C服务器中测试解密密钥的请求时，jquery将启动。当收到密钥时，它将解密任意2个随机文件并显示“祝贺你！测试文件被解密了！！'

另一个解密密钥是在向攻击者支付比特币后解密其余被查封文件的密钥。

该网站的所有内容都将使用AES-256算法，并为每个受感染的网站生成一个唯一的ID。

几乎所有可能的文件扩展名类型都受到CTB Locker勒索软件的影响。

劳伦斯在他的博客文章中指出，勒索软件的另一个独特特征是使受害者能够与勒索软件攻击者交换消息。

勒索软件开发者组织了一个聊天室，这样受害者就可以在指定与索引位于同一目录中的机密文件的名称后，与勒索软件创建者进行交谈。php。

CTB Locker for Website软件包利用了以下各种文件：

根据本科·沃克纳（@benkow_）是一名安全研究员，他为网站发现了CTB Locker，发现索引。php页面使用jQuery。post（）函数，用于与勒索软件的命令和控制（C&C）服务器通信并将数据发布到服务器。

目前，研究人员发现的CTB Locker网站有三个命令和控制服务器：

勒索软件还为网站管理员提供了恢复文件的时间段。然而，如果不及时支付BTC，赎金金额将增加一倍，增加0.8 BTC。

CTB Locker for Websites并不是这一系列勒索软件的唯一最新发展。勒索软件通过使用偷来的证书签名的可执行代码进入Windows环境。

通常，数字签名的目的是向公众证明产品的真实性。只有在Verizon、DigiCert等认证机构（CA）进行背景调查后，才能提供这些证书。

但CTB Locker勒索软件背后的网络犯罪集团篡改了数字证书的真实性。CTB勒索软件Windows中的可执行版本带有预签名数字签名。

据信，CBT背后的组织利用了Yeiphoos，另一个勒索软件开发者，他让人们去他的“加密机RaaSTor网站提供免费数字签名证书，并使用被盗代码签名证书对任何可执行文件进行签名。

窃取数字签名的行为并不是什么新鲜事，因为它们被纳入了过去几年的框架中。

劫持公司网站会从经济上影响通过网站向用户提供的服务，从而将问题提升到另一个层面。然而，如果威胁感染了一个电子商务网站，那么主要部分在于POS（销售点）攻击。

目前，许多网站已被“黑客”入侵CBT网站储物柜“根据分析，许多wordpress网站（大多数静态网页）被CBT网站锁定，根据这篇在线博客。

由于这不像使用宏的Locky勒索软件那样是一个严重的问题，网站管理员可以利用未触及的镜像（备份）使网站恢复运行。

特别声明：以上内容（图片及文字）均为互联网收集或者用户上传发布，本站仅提供信息存储服务！如有侵权或有涉及法律问题请联系我们。