21/03/2016

CTB-Locker infekuje 70 serwerów sieciowych

Zagrożenia

Podobnie jak inne rekiny biznesu, cyberprzestępcy nieustannie poszukują nowych rynków do zdobycia. Przeprowadzają eksperymenty, zmieniają profil odbiorców i zapewniają ofiarom informację zwrotną — a wszystko w celu łatwego zdobycia pieniędzy. Dokładnie te cechy zaobserwowaliśmy w najnowszej wersji programu żądającego okupu CTB-Locker.

ctb-locker-web-servers-FB

Należące do tej rodziny programy wykazały się już dużym sprytem: używały na przykład anonimowość sieci Tor Project, aby ukryć się przed ekspertami bezpieczeństwa, a także akceptowały jedynie niemożliwe do prześledzenia płatności przy użyciu waluty Bitcoin.

A teraz dobra wiadomość dla użytkowników domowych, a zła dla firm: najnowszy CTB-Locker infekuje jedynie serwery sieciowe. Podczas gdy tradycyjne ransomware szyfruje pliki użytkownika, ta odmiana programu szyfruje dane przechowywane na głównym serwerze WWW. Bez plików zajętych przez atakujących strona nie może istnieć.

Jako okup przestępcy żądają 150 dolarów (lub dokładnie 0,4 bitcoina). Jeśli ofiara nie zapłaci w wyznaczonym czasie, cena podwaja się.

Ponadto oszuści umieszczają na stronie głównej wiadomość, w której szczegółowo wyjaśniają, co się stało, kiedy oraz w jaki sposób należy przesłać im pieniądze. Dla tych, którzy nie wiedzą, jak kupić bitcoiny, dodają poradnik wideo. Co więcej, aby udowodnić swoje „szczere intencje”, oferują odszyfrowane dwóch losowych plików. Można nawet porozmawiać z nimi przy użyciu specjalnego kodu dostępnego jedynie dla ofiar.

O ile nam wiadomo, nowy CTB-Locker zaszyfrował już dane na ponad 70 serwerach w 10 krajach, a najbardziej zainfekowane są Stany Zjednoczone (co nie jest zaskoczeniem).

ctb_locker_pl_123

CTB-Locker jest prawdziwą plagą w internecie, ponieważ wciąż nie powstały narzędzia deszyfrujące, które mogłyby pomóc ofiarom. Jedynym sposobem na szybkie odzyskanie zainfekowanych plików jest zapłacenie okupu.

Wciąż nie wiemy, w jaki sposób następuje infekcja serwerów sieciowych CTB-Lockerem, ale zaobserwowaliśmy, że wiele ofiar używa platformy WordPress. Dlatego zalecamy:

  • regularnie aktualizuj WordPressa, ponieważ eliminujesz w ten sposób wiele luk,
  • ostrożnie korzystaj z wtyczek firm trzecich: chociaż mogą one być bardzo przydatne, warto zwracać uwagę na to, aby ich autorzy cieszyli się uznaniem,
  • twórz kopie zapasowe wszystkich ważnych danych,
  • uważaj na wiadomości phishingowe,
  • nie wierz w cudowne dodatki firm trzecich, które mogą rzekomo np. przeprowadzać analizy sieciowe.

Chociaż ta szczególna wersja programu z rodziny ransomware infekuje jedynie strony, istnieje wiele innych takich programów, których celem są pliki użytkowników. Użytkownikom domowym zalecamy instalowanie rzetelnego programu zabezpieczającego, regularne wykonywanie kopii zapasowych i unikanie phishingu, ponieważ dziś jest to najbardziej popularna opcja dostarczania wszelkiej maści szkodliwych programów, w tym ransomware.