CTB-Locker WEB
CTB-Locker для веб-сайтов
(шифровальщик-вымогатель)
Этот крипто-вымогатель атакует серверы, на которых расположены веб-сайты клиентов, шифрует их содержимое с помощью AES-256, а потом требует выкуп 0.4 биткоина за доступ к ключу дешифровки. По истечении времени, отведённого на уплату выкупа, эта сумма удваивается до 0.8 биткоина.
© Генеалогия: CTB-Locker > CTB-Locker WEB
Этимология названия:
Аббревиатура CTB в названии означает Curve Tor Bitcoin.
Активность этой веб-версии крипто-вымогателя пришлась на февраль-март 2016.
Операторы этого шифровальщика взламывают уязвимые серверы, на которых размещены веб-сайты, и подменяют файл index.php или index.html. Новый index.php используется для шифрования данных на сайте ключом AES-256, а также для отображения новой домашней страницы, на которой сообщается, что случилось с файлами и как заплатить выкуп.
Через месяц активности сумма выкупа снизилась с 0,4 BTC до 0,15 BTC (~ $63), а также от 0,8 BTC до 0,3 BTC (~ $125) за просроченные платежи.
Судя по снижению размера выкупа, вымогателям мало кто платит. Потому эта итерация CTB-Locker вряд ли будет столь же эффективна, как версия для Windows 2014 года, т.к. на веб-серверах и сайтах принято резервировать базу данных и файлы, составляющие основу сайта, которые потом можно с легкостью восстановить из бэкапа без уплаты выкупа.
Часть содержания текста о выкупе:
Your personal files are encrypted by CBT-Locker.
Your scripts, documents, photos, databases and other important files have been encrypted with strongest encryption algorithm AES-256 and unique key, generated for this site.
Decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the decryption key.
Learn more about the algorithm can be here: Wikipedia-link
Перевод на русский язык:
Ваши личные файлы зашифрованы CBT-Locker.
Ваши скрипты, документы, фото, базы данных и другие важные файлы зашифрованы алгоритмом шифрования AES-256 и уникальным ключом, сгенерированный для этого сайта.
Ключ дешифрования хранится на секретном интернет-сервере, и невозможно дешифровать файлы без уплаты выкупа и этого ключа дешифрования.
Об алгоритме читайте здесь: Википедия-ссылка
Жертве также предлагается прислать вымогателям для бесплатной дешифровки два файла в знак подтверждения наличия декриптера. Для этого нужно ввести секретное имя файла secret_ filename, который находится в той же папке, что и файл index.php, а затем нажать кнопку "Decrypt it free". При успешной дешифровке выйдет сообщение "Congratulations! TEST FILES WAS DECRYPTED!!"
С оператором вымогателей можно связаться с помощью чата, ссылка на который имеется в самом вверху информационного окна.
Список файловых расширений, подвергающихся шифрованию:
.000, .002, .003, .004, .005, .006, .007, .008, .009, .010, .1st,.264, .3D, .3d, .3dm, .3dr, .3ds, .3g2, .3ga, .3gp, .7z, .7zip, .a00, .a01, .a02, .a03, .a04, .a05, .a3d, .aa, .aac, .abr, .accdb, .accdt, .ace, .adadownload, .adp, .ai, .aiff, .air, .alx, .amr, .ani, .ape, .apk, .apng, .app, .application, .appx, .appxbundle, .arc, .arj, .arw, .asec, .asf, .ashx, .asm, .asp, .aspx, .asx, .atom, .avi, .aws, .aww, .azw, .azw3, .bak, .bar, .bas, .bat, .bbb, .bbc, .bc, .big, .bik, .bin, .bkf, .bkp, .blend, .blf, .bml, .bmp, .btm, .bzip2, .c, .c00, .c01, .c02, .c03, .c4d, .cab, .cache, .cal, .cbr, .cbz, .ccd, .cda, .cdr, .cdt, .cfg, .cfm, .cgi, .cgm, .chm, .class, .clear, .clf, .cmd, .cnf, .cnt, .coff, .com, .contact, .cpio, .cpl, .cpp, .cpt, .cr2, .crdownload, .crw, .crypt, .cs, .csh, .cso, .css, .csv, .cue, .daa, .dao, .dash, .dat, .db, .dbf, .dbk, .dbx, .dcr, .dct, .dds, .deb, .deskthemepack, .dgn, .dib, .dic, .dicom, .dif, .djvu, .dlc, .dll, .dmg, .dmp, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .download, .drv, .drw, .dt2, .dta, .dump, .dvf, .dvi, .dvr, .dwfx, .dwg, .dxf, .edi, .elf, .emf, .eml, .emz, .eng, .eot, .eps, .epub, .evtx, .exe, .fb2, .fbx, .fdb, .fig, .fla, .flac, .flv, .fpx, .g64, .gadget, .gb, .gba, .gbk, .gdb, .gdoc, .gho, .gif, .gp4, .gp5, .gpx, .gsheet, .gslides, .gz, .gzip, .h, .h264, .ha, .hdr, .hi, .hqx, .htm, .html, .iba, .ibooks, .icns, .ico, .icon, .ics, .idx, .iff, .ifo, .ihtml, .img, .inc, .ind, .indd, .inf, .ini, .inv, .ipa, .ipd, .ipsw, .iso, .isz, .jad, .jar, .java, .jpe, .jpeg, .jpg, .js, .json, .jsp, .kext, .key, .keynote, .kml, .kmz, .ksd, .lav, .lcf, .ldif, .lha, .lib, .lit, .lng, .lnk, .log, .logic, .lrc, .lrtemplate, .lst, .lwo, .lws, .lzo, .lzx, .m2t, .m2ts, .m3d, .m3u, .m3u8, .m4a, .m4b, .m4p, .m4v, .ma, .mac, .maf, .map, .max, .mb, .mbz, .md, .md5, .mdb, .mdbackup, .mdf, .mdi, .mdl, .mds, .mdx, .mht, .mhtml, .midi, .mkv, .ml, .mmf, .mng, .mobi, .mod, .mov, .mp3, .mp4, .mpd, .mpeg, .mpg, .mpp, .mpt, .mrw, .msg, .msi, .msmessagestore, .msu, .mswmm, .mts, .mui, .mxf, .n64, .nba, .nbf, .nbh, .nbu, .nco, .nds, .nef, .nes, .nfo, .npf, .nrg, .o, .obj, .ocx, .odf, .odg, .ods, .odt, .ofx, .ogg, .ogv, .old, .one, .onepkg, .opml, .orf, .otf, .ott, .out, .ova, .ovf, .oxps, .pages, .pak, .part, .partial, .pas, .pcd, .pcl, .pcm, .pcx, .pdf, .pdn, .pfx, .php, .phtml, .pic, .pkg, .pkpass, .pl, .plist, .pls, .plugin, .pmd, .png, .pos, .pot, .potx, .pps, .ppsx, .ppt, .pptm, .pptx, .prg, .prj, .prn, .pro, .prproj, .prt, .ps, .psb, .psd, .pst, .pts, .ptx, .pub, .pvm, .pwi, .py, .pz3, .pzl, .qif, .r00, .r01, .r02, .r03, .r04, .r05, .r06, .r07, .r08, .r09, .r10, .raf, .rar, .rar, .raw, .rb, .rc, .rec, .ref, .reg, .rem, .rep, .res, .rib, .rmvb, .rom, .rpm, .rsc, .rss, .rtf, .rw2, .safariextz, .sai, .sav, .save, .sbf, .sbu, .scn, .scpt, .scr, .scx, .sd7, .sda, .sdc, .sdd, .sdf, .sdw, .sdxf, .sfcache, .sgml, .sha, .shs, .shtml, .sis, .sisx, .sit, .sitd, .sitx, .skn, .skp, .sldasm, .sldprt, .smc, .smd, .smil, .snd, .sng, .snp, .spb, .spr, .sql, .sqlite, .src, .srm, .srt, .stdf, .stl, .stm, .stp, .sub, .sup, .svg, .svp, .swf, .swp, .sxc, .sxw, .sys, .tao, .tar, .tar.gz, .tbl, .tc, .temp, .template, .tex, .texinfo, .text, .tga, .tgz, .theme, .themepack, .thm, .thmx, .tib, .tif, .tiff, .tmp, .toast, .tod, .torrent, .tp, .tpl, .trm, .troff, .ts, .ttc, .ttf, .txt, .u3d, .uax, .uif, .unity, .upd, .upg, .usr, .ut, .uts, .v64, .vbs, .vcd, .vcf, .vdi, .vhd, .vmdk, .vmem, .vmwarevm, .vmx, .vob, .vsd, .vsdx, .vsm, .vue, .vxd, .wav, .wba, .wbcat, .wbmp, .wdb, .wdp, .webarchive, .webm, .webp, .wif, .wire, .wlmp, .wma, .wmf, .wmv, .woff, .wotreplay, .wowpreplay, .wpd, .wpl, .wps, .wri, .x, .x_t, .x3d, .xap, .xhtml, .xls, .xlsm, .xlsx, .xmi, .xml, .xpi, .xpm, .xps, .xsd, .xsl, .xslt, .xz, .z01, .z02, .z03, .z04, .z05, .zip, .zoo (591 расширение).
Связанные с CTB-Locker файлы веб-сервера:
[web_site_document_root]/index.php — основной компонент CTB-Locker для процедур шифрования и дешифрования и вывода страницы оплаты;
[web_site_document_root]/allenc.txt — список всех зашифрованных файлов;
[web_site_document_root]/test.txt — содержит пути к именам двух заранее определенных файлов, которые предлагается расшифровать бесплатно;
[web_site_document_root]/victims.txt — список всех файлов, которые будут зашифрованы;
[web_site_document_root]/extensions.txt — список расширений файлов, которые будут зашифрованы;
[web_site_document_root]/crypt/secret_[victim_specific_name] — секретный файл, который нужно приложить при дешифровке двух файлов и активации чата; файл находится в той же папке, что и файл index.php;
[web_site_document_root]/temp
[web_site_document_root]/robots.txt
[web_site_document_root]/crypt/
К сожалению, пока нет никакого бесплатного способа дешифровки файлов сайтов, зашифрованных CTB-Locker, и единственный способ для восстановления файлов — использовать резервные копии.
Любой пострадавший от этого вымогателя должен обратиться к своему хостинг-провайдеру, чтобы определить, каким образом был взломан сайт и посмотреть, если у них есть резервные копии баз вашего сайта.
Сетевые подключения и связи:
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: перспективно высокая.
Подробные сведения собираются регулярно.
Обновление марта 2016:
В мартовской версии CTB-Locker вымогатели отказались от сайтов-посредников в пользу хранения информации в Blockchain Bitcoin. Для каждого зашифрованного сервера скрипты создают новый биткоин-адрес. Когда на него поступят деньги, они создадут новую транзакцию с ключом для расшифровки в метаданных, а полученные от жертвы 0,0001 биткоина за тестовую расшифровку пойдут на оплату комиссии. На заражённых серверах отслеживается появление транзакций с ключами в Blockchain при помощи программного интерфейса blockexplorer.com. Это более надёжный метод коммуникации, но он вряд ли поможет в дальнейшем создателям CTB-Locker.
Read to links: Tweet on Twitter ID Ransomware (ID as CTB-Locker) Write-up, Topic of Support *
Thanks: Lawrence Abrams Michael Gillespie * *
© Amigo-A (Andrew Ivanov): All blog articles.