CTB-Locker cripta i siti web e chiede il riscatto

Sta diffondendosi in questi giorni una nuova variante del ransomware CTB-Locker che, invece di criptare i documenti degli utenti sui PC infettati, blocca i file dei siti web mettendoli letteralmente offline. Questa variante di di CTB-Locker è stata identificata da Benkow Wokned che ne ha pubblicato il codice, cifra i dati del sito web con algoritmo AES256 e chiede un riscatto di 0.4 bitcoin per poter ripristinare il sito. Questo il testo del messaggio con la richiesta di riscatto:

Your personal files are encrypted by CTB-Locker. Your scripts, documents, photos, databases and other important files have been encrypted with strongest encryption algorithm AES-256 and unique key, generated for this site. Decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the decryption key.

Non è ancora noto come il trojan infetti i siti web, sembra però che possa sfruttare vulnerabilità di CMS come WordPress o Joomla, spesso oggetto di attacco da parte dei bot. Una volta ottenuto l’accesso alla root del webserver, il ransomware rinomina i file index.php o index.htm originali in original_index.php o original_index.html sostituendosi quindi al sito web che mostrerà questa schermata ai visitatori:

CTB Locker cripta i siti web

Interessante notare come nel messaggio di estorsione i ricattatori precisino che “Fbi’s advice on cryptolocker just pay the ransom“, cioè che l’FBI stessa ha consigliato di pagare il riscatto, linkando la pagina su SecurityLedger che cita la dichiarazione del Bureau. Sempre sul sito infettato dal ransomware, i delinquenti forniscono una chat per poter ricevere assistenza per pagare il riscatto:

Chat assistenza CTB-Locker per siti web

Come ormai abitudine per i vari trojan come Cryptolocker, CTB-Locker, TeslaCrypt e simili, viene offerta anche la possibilità di decriptare due file di test, per provare che il sistema di decifratura funziona.

Decifratura gratis di prova per CTB-Locker

Sono stati colpiti già numerosi siti, dei quali un buon numero è stato già ripulito, probabilmente ripristinando i backup perché dai rilevamenti effettuati in mattinata (tanto per citarne alcuni, tra le decine di siti infetti esaminati questo, questo o questo) sugli indirizzi bitcoin utilizzati per la richiesta di riscatto non vi sono versamenti ma i siti infetti sono online. Per chi vuole fare attività di bitcoin intelligence, qui alcuni degli indirizzi utilizzati per la richiesta del riscatto:

1E5dZia1vENYH415zP27JgEmGJrxChchfe
19friMBWk12vcNv4tGWNvAJxXANxyPkQQ9
1EYzYEubQVTwP8HDrKD1UoNyh2iN9ztPv2
1PzQWLn4M9cEXaUPUCG9tgDjjKjZrLC2Lm
1AfkVoEqmSZPEXCiocBfCvHjykJR7gBaDW
1MkPWEdqntNoqugansqqRycZJjYXNwvhEQ
16KS5xi8kVkPFrebjs1TvHQRwhTdjHBk2L
1FyKHYP1QG7F29YDjg3Psp2B8RQ3oW2pnB
17fAjX5nEjudfLFaw2NVa5o97VTiFEUjzK
1FkuAHg2tYS7Erfa5yKFwcK5XBaTc5vRWN
1HUXsxzgsgbaExW9swRwvjviCcXJ8xwv9R
1NPLPibRn8JdJ78iRNuogi6b1vUayAyK3u
1BFohsWeZ9Q2FfXMUudwEFyX6xiMKYzwxK
18XwtQDdusTWDefVKLSxMEHWWPScrciHF4
12p5Uayeq9MEf5iHNEMSZsAK8B9Qpyr5G7
15XQLB5A9ZFZcEdRig1jVTURKfaRtBBw8E
1A2PWyBm3rQF5hFuCJVAFqz4J56yqZufH1
1FkuAHg2tYS7Erfa5yKFwcK5XBaTc5vRWN
13XbevX9evzVFiFihirgAZfjucjdQvx8yV
19skZcRBo4Xomqv4wdmjNRow3zck1AvKAK
1Kj9TX2fTK2RwjdX5ZFBuwr5pBP5YRUydu
1CDDnDMMCrpYCvkAeouAsBNGBDW2bUhB67

Per farsi un’idea di quanti siano i siti infettati da CTB-Locker basta utilizzare Google con una parte del messaggio della richiesta di riscatto, “For decrypt your files you need to make a few simple steps“, caratteristica di CTB-Locker. Come si nota dal numero di siti indicizzati, il numero di siti infettati è in rapido aumento, soltanto durante la scrittura del presente post i risultati sono saliti da 500 a 700.

Siti infettati da CTB-Locker secondo Google

Per chi fosse interessato a visionare un sito compromesso, al momento sono ancor attivi, tra i centinaia segnalati, l’italiano www.klingenberg.it [copia su archive.is] o www.staygray.com [copia su archive.is].

Non sono noti al momento sistemi per decriptare i file cifrati da CTB-Locker per siti web, aspettiamo con fiducia che i ricercatori che stanno lavorandoci scoprano qualche vulnerabilità che permetta di recuperare la chiave e ripristinare il sito web infetto.

La prevenzione, come in tutti i casi di ransomware, è la migliore soluzione e consiste nel fare frequenti backup del proprio sito web, ovviamente non sulla propria area web (almeno non in quella accessibile via PHP dal webserver). Per CMS come WordPress, un consiglio può essere quello di utilizzare il plugin BackWpUP, che permette di eseguire copie di sicurezza anche giornaliere su cloud come Dropbox, Google Drive, Amazon S3, Microsoft Azure, RackSpace, SugarSync ma anche FTP, così da poter ripristinare i file del proprio sito web in caso d’infezione da parte di ransomware.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.