giovedì 10 marzo 2016

CBT-Locker alert! Oggi cripta anche i siti web!




E’ in diffusione una nuova variante del ransomware CBT-Locker.
Stavolta, invece di infettare i file dei PC degli utenti, cripta i file dei siti web e li mette offline.
Cripta i file secondo l’algoritmo AES256 e chiede circa 0.4 bitcoin di riscatto.

Sul sito web apparirà un messaggio in inglese
“Your personal files are encrypted by CTB-Locker. Your scripts, documents, photos, databases and other important files have been encrypted with strongest encryption algorithm AES-256 and unique key, generated for this site. Decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the decryption key.”
ovvero
“I tuoi file personali sono stati criptati da CTB-Locker. I tuoi script, documenti, foto, database e altri file importanti sono stati criptati col più forte algoritmo AES-256 e una chiave unica, generata per questo sito. La chiave di decriptazione si trova in un serve segreto e nessuno può decriptare i tuoi file fino a che non avrai pagato e avrai ottenuto la chiave di decriptazione."

Non è ancora chiaro come infetti i siti web: si sa che sfutta le vulnerabilità di CMS (“sistema di gestione dei contenuti”, software installati su server web che servono a gestire siti web)come  Joomla o Wordpress. Una volta ottenuto l’accesso alla root (amministrazione) del web server, cambiano i file index.php o index.htm in original_index.php o original_index.htm.
La home page del sito verrà quindi cambiata e si presenterà come nella foto qui sotto:


Questo CBT-Locker “garantisce due servizi":
-un “servizio” di chat per ottenere assistenza


-un “servizio” di decriptazione di due file, per dimostrare che la decriptazione funziona realmente.


I siti colpiti sono già centinaia (qui e qui un esempio). Ad oggi non esistono soluzioni per decriptare i siti web. La cosa migliore è indubbiamente predisporre subito, laddove non fosse già stato fatto, il backup del sito ovviamente non sulla propria area web.  Unico dato positivo: la navigazione su un sito infetto non comporta rischi di infezione per l’utente che visita il sito.

Nessun commento:

Posta un commento