CTB-Locker WEB

CTB-Locker WEB

CTB-Locker для веб-сайтов

(шифровальщик-вымогатель)

   Этот крипто-вымогатель атакует серверы, на которых расположены веб-сайты клиентов, шифрует их содержимое с помощью AES-256, а потом требует выкуп 0.4 биткоина за доступ к ключу дешифровки. По истечении времени, отведённого на уплату выкупа, эта сумма удваивается до 0.8 биткоина. 

© Генеалогия: CTB-Locker > CTB-Locker WEB

Этимология названия:
Аббревиатура CTB в названии означает Curve Tor Bitcoin.

Активность этой веб-версии крипто-вымогателя пришлась на февраль-март 2016. 

  Операторы этого шифровальщика взламывают уязвимые серверы, на которых размещены веб-сайты, и подменяют файл index.php или index.html. Новый index.php используется для шифрования данных на сайте ключом AES-256, а также для отображения новой домашней страницы, на которой сообщается, что случилось с файлами и как заплатить выкуп. 

 Через месяц активности сумма выкупа снизилась с 0,4 BTC до 0,15 BTC (~ $63), а также от 0,8 BTC до 0,3 BTC (~ $125) за просроченные платежи. 

  CTB-Locker использует исполняемые файлы, которые были подписаны украденным сертификатом. Пик активности пришелся на февраль 2016 г. Известно, что злоумышленники атакуют уязвимые сайты, сделанные на платформе WordPress. 

 Судя по снижению размера выкупа, вымогателям мало кто платит. Потому эта итерация CTB-Locker вряд ли будет столь же эффективна, как версия для Windows 2014 года, т.к. на веб-серверах и сайтах принято резервировать базу данных и файлы, составляющие основу сайта, которые потом можно с легкостью восстановить из бэкапа без уплаты выкупа. 

Часть содержания текста о выкупе:
Your personal files are encrypted by CBT-Locker.
Your scripts, documents, photos, databases and other important files have been encrypted with strongest encryption algorithm AES-256 and unique key, generated for this site.
Decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the decryption key.
Learn more about the algorithm can be here: Wikipedia-link

Перевод на русский язык:
Ваши личные файлы зашифрованы CBT-Locker.
Ваши скрипты, документы, фото, базы данных и другие важные файлы зашифрованы алгоритмом шифрования AES-256 и уникальным ключом, сгенерированный для этого сайта.
Ключ дешифрования хранится на секретном интернет-сервере, и невозможно дешифровать файлы без уплаты выкупа и этого ключа дешифрования. 
Об алгоритме читайте здесь: Википедия-ссылка

Жертве также предлагается прислать вымогателям для бесплатной дешифровки два файла в знак подтверждения наличия декриптера. Для этого нужно ввести секретное имя файла secret_ filename, который находится в той же папке, что и файл index.php, а затем нажать кнопку "Decrypt it free". При успешной дешифровке выйдет сообщение "Congratulations! TEST FILES WAS DECRYPTED!!"  

С оператором вымогателей можно связаться с помощью чата, ссылка на который имеется в самом вверху информационного окна.

  

Список файловых расширений, подвергающихся шифрованию:
.000, .002, .003, .004, .005, .006, .007, .008, .009, .010, .1st,.264, .3D, .3d, .3dm, .3dr, .3ds, .3g2, .3ga, .3gp, .7z, .7zip, .a00, .a01, .a02, .a03, .a04, .a05, .a3d, .aa, .aac, .abr, .accdb, .accdt, .ace, .adadownload, .adp, .ai, .aiff, .air, .alx, .amr, .ani, .ape, .apk, .apng, .app, .application, .appx, .appxbundle, .arc, .arj, .arw, .asec, .asf, .ashx, .asm, .asp, .aspx, .asx, .atom, .avi, .aws, .aww, .azw, .azw3, .bak, .bar, .bas, .bat, .bbb, .bbc, .bc, .big, .bik, .bin, .bkf, .bkp, .blend, .blf, .bml, .bmp, .btm, .bzip2, .c, .c00, .c01, .c02, .c03, .c4d, .cab, .cache, .cal, .cbr, .cbz, .ccd, .cda, .cdr, .cdt, .cfg, .cfm, .cgi, .cgm, .chm, .class, .clear, .clf, .cmd, .cnf, .cnt, .coff, .com, .contact, .cpio, .cpl, .cpp, .cpt, .cr2, .crdownload, .crw, .crypt, .cs, .csh, .cso, .css, .csv, .cue, .daa, .dao, .dash, .dat, .db, .dbf, .dbk, .dbx, .dcr, .dct, .dds, .deb, .deskthemepack, .dgn, .dib, .dic, .dicom, .dif, .djvu, .dlc, .dll, .dmg, .dmp, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .download, .drv, .drw, .dt2, .dta, .dump, .dvf, .dvi, .dvr, .dwfx, .dwg, .dxf, .edi, .elf, .emf, .eml, .emz, .eng, .eot, .eps, .epub, .evtx, .exe, .fb2, .fbx, .fdb, .fig, .fla, .flac, .flv, .fpx, .g64, .gadget, .gb, .gba, .gbk, .gdb, .gdoc, .gho, .gif, .gp4, .gp5, .gpx, .gsheet, .gslides, .gz, .gzip, .h, .h264, .ha, .hdr, .hi, .hqx, .htm, .html, .iba, .ibooks, .icns, .ico, .icon, .ics, .idx, .iff, .ifo, .ihtml, .img, .inc, .ind, .indd, .inf, .ini, .inv, .ipa, .ipd, .ipsw, .iso, .isz, .jad, .jar, .java, .jpe, .jpeg, .jpg, .js, .json, .jsp, .kext, .key, .keynote, .kml, .kmz, .ksd, .lav, .lcf, .ldif, .lha, .lib, .lit, .lng, .lnk, .log, .logic, .lrc, .lrtemplate, .lst, .lwo, .lws, .lzo, .lzx, .m2t, .m2ts, .m3d, .m3u, .m3u8, .m4a, .m4b, .m4p, .m4v, .ma, .mac, .maf, .map, .max, .mb, .mbz, .md, .md5, .mdb, .mdbackup, .mdf, .mdi, .mdl, .mds, .mdx, .mht, .mhtml, .midi, .mkv, .ml, .mmf, .mng, .mobi, .mod, .mov, .mp3, .mp4, .mpd, .mpeg, .mpg, .mpp, .mpt, .mrw, .msg, .msi, .msmessagestore, .msu, .mswmm, .mts, .mui, .mxf, .n64, .nba, .nbf, .nbh, .nbu, .nco, .nds, .nef, .nes, .nfo, .npf, .nrg, .o, .obj, .ocx, .odf, .odg, .ods, .odt, .ofx, .ogg, .ogv, .old, .one, .onepkg, .opml, .orf, .otf, .ott, .out, .ova, .ovf, .oxps, .pages, .pak, .part, .partial, .pas, .pcd, .pcl, .pcm, .pcx, .pdf, .pdn, .pfx, .php, .phtml, .pic, .pkg, .pkpass, .pl, .plist, .pls, .plugin, .pmd, .png, .pos, .pot, .potx, .pps, .ppsx, .ppt, .pptm, .pptx, .prg, .prj, .prn, .pro, .prproj, .prt, .ps, .psb, .psd, .pst, .pts, .ptx, .pub, .pvm, .pwi, .py, .pz3, .pzl, .qif, .r00, .r01, .r02, .r03, .r04, .r05, .r06, .r07, .r08, .r09, .r10, .raf, .rar, .rar, .raw, .rb, .rc, .rec, .ref, .reg, .rem, .rep, .res, .rib, .rmvb, .rom, .rpm, .rsc, .rss, .rtf, .rw2, .safariextz, .sai, .sav, .save, .sbf, .sbu, .scn, .scpt, .scr, .scx, .sd7, .sda, .sdc, .sdd, .sdf, .sdw, .sdxf, .sfcache, .sgml, .sha, .shs, .shtml, .sis, .sisx, .sit, .sitd, .sitx, .skn, .skp, .sldasm, .sldprt, .smc, .smd, .smil, .snd, .sng, .snp, .spb, .spr, .sql, .sqlite, .src, .srm, .srt, .stdf, .stl, .stm, .stp, .sub, .sup, .svg, .svp, .swf, .swp, .sxc, .sxw, .sys, .tao, .tar, .tar.gz, .tbl, .tc, .temp, .template, .tex, .texinfo, .text, .tga, .tgz, .theme, .themepack, .thm, .thmx, .tib, .tif, .tiff, .tmp, .toast, .tod, .torrent, .tp, .tpl, .trm, .troff, .ts, .ttc, .ttf, .txt, .u3d, .uax, .uif, .unity, .upd, .upg, .usr, .ut, .uts, .v64, .vbs, .vcd, .vcf, .vdi, .vhd, .vmdk, .vmem, .vmwarevm, .vmx, .vob, .vsd, .vsdx, .vsm, .vue, .vxd, .wav, .wba, .wbcat, .wbmp, .wdb, .wdp, .webarchive, .webm, .webp, .wif, .wire, .wlmp, .wma, .wmf, .wmv, .woff, .wotreplay, .wowpreplay, .wpd, .wpl, .wps, .wri, .x, .x_t, .x3d, .xap, .xhtml, .xls, .xlsm, .xlsx, .xmi, .xml, .xpi, .xpm, .xps, .xsd, .xsl, .xslt, .xz, .z01, .z02, .z03, .z04, .z05, .zip, .zoo (591 расширение). 

Связанные с CTB-Locker файлы веб-сервера:
[web_site_document_root]/index.php — основной компонент CTB-Locker для процедур шифрования и дешифрования и вывода страницы оплаты;
[web_site_document_root]/allenc.txt — список всех зашифрованных файлов;
[web_site_document_root]/test.txt — содержит пути к именам двух заранее определенных файлов, которые предлагается расшифровать бесплатно;
[web_site_document_root]/victims.txt — список всех файлов, которые будут зашифрованы;
[web_site_document_root]/extensions.txt — список расширений файлов, которые будут зашифрованы;
[web_site_document_root]/crypt/secret_[victim_specific_name] —  секретный файл, который нужно приложить при дешифровке двух файлов и активации чата; файл находится в той же папке, что и файл index.php;
[web_site_document_root]/temp
[web_site_document_root]/robots.txt
[web_site_document_root]/crypt/

К сожалению, пока нет никакого бесплатного способа дешифровки файлов сайтов, зашифрованных CTB-Locker, и единственный способ для восстановления файлов — использовать резервные копии. 

Любой пострадавший от этого вымогателя должен обратиться к своему хостинг-провайдеру, чтобы определить, каким образом был взломан сайт и посмотреть, если у них есть резервные копии баз вашего сайта. 

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: перспективно высокая.
Подробные сведения собираются регулярно.

Обновление марта 2016:
В мартовской версии CTB-Locker вымогатели отказались от сайтов-посредников в пользу хранения информации в Blockchain Bitcoin. Для каждого зашифрованного сервера скрипты создают новый биткоин-адрес. Когда на него поступят деньги, они создадут новую транзакцию с ключом для расшифровки в метаданных, а полученные от жертвы 0,0001 биткоина за тестовую расшифровку пойдут на оплату комиссии. На заражённых серверах отслеживается появление транзакций с ключами в Blockchain при помощи программного интерфейса blockexplorer.com. Это более надёжный метод коммуникации, но он вряд ли поможет в дальнейшем создателям CTB-Locker. 

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CTB-Locker)
 Write-up, Topic of Support
 * 

 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.