باج افزار CTB-Locker به بیش از 100 وب سایت ضربه زد

این تهدید جدید در PHP نوشته شده است و همه فایل ها در دایرکتوری سرور وب را رمز گذاری می کند.

یک برنامه مخرب جدید که فایل ها را بر روی سرورهای وب رمز گذاری می کند حداقل 100 وب سایت را در طول چند هفته اخیر تحت تاثیر قرار داده است ، این نشانه روند جدیدی از گسترش باج افزارها است.

ransomware

این برنامه که در PHP نوشته شده است ، CTB-Locker نامیده می شود، این نام همچنین برای یکی از گسترده ترین برنامه های باج افزار برای ویندوزهای کامپیوتر استفاده شده است. به هر حال زیاد واضح نیست که آیا ارتباطی بین باج افزار مبتنی بر وب و نسخه ویندوز وجود دارد یا نه.

هنگامیکه که روی سرور وب نصب بشود ، این برنامه شاخص .php را جایگزین می کند و یک دایرکتوری که Crypt نامیده می شود ایجاد می کند که شامل فایل های اضافی PHP می باشد. هنگامیکه برنامه یک درخواست مخصوص از مهاجم دریافت می کند ، شروع به رمز گذاری همه فایل ها در دایرکتوری سرور وب می کند.

بعد از آنکه پروسه رمز گذاری تکمیل شد، بر روی صفحه اصلی وب سایت پیامی ظاهر می شود که در خواست پرداخت پول از طریق bitcoin را دارد.

یکی از اولین حمله ها با این نسخه مبتنی بر وی از  CTB-Lockerدر12فوریه گزارش شده بود، هنگامیکه وب سایت British Association قربانی شد.

مستقیما آشکار نبود که این آیا وب سایت مورد حمله واقعی قرار گرفته است یا این فقط تلاشی برای ترساندن صاحبان وب سایت می باشد. برخی از افراد دچار شک بودند برای اینکه نام CTB-Locker قبلا تنها با باج افزار ویندوز همراه بود.

محققان از Stormshield ، از آن زمان موفق به بدست آوردن کد مخرب از دیگر سایت تحت تاثیر واقع شده شدند. در حقیقت آنها 102 وب سایت پیدا کردند که توسط این باج افزار مبتنی بر وب آلوده شده بود.

این هنوز روشن نشده است که چطور مهاجمان دسترسی به آن وب سایت ها را به منظور نصب CTB-Locker بدست آوردند. محققان Stormshield در پست وبلاگ گفتند که سرزنش کردن یک آسیب پذیری خاص در  سیستم مدیریت محتوای عمومی (CMS)  مانند WordPress سخت است، برای اینکه برخی از وب سایت های متاثر از CMS استفاده نمی کردند.

آنها گفتند؛ این میزبان های آلوده شده هر دوی Linux و Windows را استفاده می کردند و اکثر آنها (73%)   میزبان یک سرویس Exim (سرور SMTP ) بودند. برخی از آنها برای ShellShock آسیب پذیر اند، اما بدون دسترسی عمیق به سرورهای قربانی ، فهمیدن اینکه باج افزار چگونه میزبان را آلوده کرده مشکل است .

بیشتر وب سایتهای تحت تاثیر قرار گرفته همچنین یک پوشش نصب شده رمز عبور حفاظت وب داشتند. این نوع از برنامه های بک دور را مهاجمان هنگامیکه می خواهند دسترسی غیر مجاز به آنها را بدست آورند روی سرور های وب نصب می کنند.

CTB-Locker اولین باج افزاری نیست که وب سایت ها را مورد هدف قرار می دهد. در نوامبر، محققان یک تهدید مشابه کشف کردند که Linux.Encoder.1 لقب گرفت، اما آن برنامه بنظر می رسید که آزمایشی بوده و نقض های رمز نگاری داشت که به محققان اجازه داد ابزار رمز گشایی را ایجاد کنند.

این احتمال که Linux.Encoder.1 برای دیگر سازندگان باج افزار ها الهام بخش بوده باشد، نشان دهنده این می باشد که امثال این حملات در برابر سرور های وب عملی می باشد. به این ترتیب، CTB-Locker احتمالا آخرین برنامه باج افزار برای رمز گذاری وب سایت ها نخواهد بود.

www.pcworld.com/article/3038207/security/ctb-locker-ransomware-hits-over-100-websites.html

You may also like...