Киберпреступники, как и обычные бизнесы, постоянно ищут новые «рынки». Они экспериментируют, меняют целевую аудиторию и даже поддерживают контакт с жертвами — что угодно, лишь бы получить побольше денег. Такой схемы придерживаются и создатели новой версии троянца-шифровальщика CTB-Locker.
Семейство этих вымогателей и раньше выделялось благодаря своей хитрости: к примеру, они использовали Tor, чтобы прятаться от специалистов по безопасности, и принимали платежи только в неотслеживаемой валюте — биткойнах.
Новая программа-вымогатель прячется в #Tor и хочет повторить «успех» #Cryptolocker: http://t.co/enWcVWFmxz
— Kaspersky (@Kaspersky_ru) July 25, 2014
У нас есть хорошие новости для обычных пользователей и плохие — для предпринимателей: новая версия CTB-Locker атакует только веб-сервера. Хотя обычные вымогатели шифруют личные файлы пользователя, этот специализируется на данных, которые располагаются в корневом каталоге веб-сервера. Без этих файлов веб-сайт не существует.
Преступники требуют $150, или 0,4 биткойна, в качестве выкупа. Если жертва не платит вовремя, цена удваивается.
https://cdn.securelist.com/files/2016/02/ctb_locker_en_1.png
После заражения хакеры подменяют главную страницу взломанного веб-сайта и публикуют на ней сообщение, в котором информируют посетителей о произошедшем, а также рассказывают, когда и как именно нужно перевести деньги.
Они любезно прикрепляют к сообщению видеоролик с YouTube, в котором объясняется, как купить биткойны онлайн, а также предлагают расшифровать два случайных файла бесплатно — как доказательство своих «честных» намерений. Пострадавшие могут даже пообщаться с преступниками в чате с помощью специального кода, который выдается только жертвам заражения.
Насколько мы знаем, новый CTB-Locker уже добрался до 70 серверов в 10 разных странах. Большинство из них расположены в США.
https://cdn.securelist.com/files/2016/03/ctb_locker_en_123.png
Семейство зловредов CTB-Locker — это настоящий бич Интернета. До сих пор не существует инструмента, который мог бы расшифровать файлы и помочь жертвам. Единственный способ быстро вернуть свои данные — это заплатить выкуп. Ну или не дать зловреду проникнуть в систему.
До сих пор неясно, как CTB-Locker добирается до веб-серверов, но мы все-таки заметили кое-что общее: большое количество жертв пользуются платформой WordPress. Поэтому мы рекомендуем вам следовать следующим советам:
- не забывайте обновлять WordPress, так как его старые версии содержат большое количество разных уязвимостей;
- будьте очень аккуратны при выборе и установке сторонних плагинов: эти дополнения могут быть очень полезными, но только если их создали не хакеры;
- регулярно создавайте резервные копии всех важных файлов;
- берегитесь фишинга;
- не верьте в слишком выгодные рекламные предложения, которые убеждают вас установить подозрительные сторонние программы, скажем, для анализа посещаемости сайта.
Хотя эта конкретная версия троянца-вымогателя охотится только на веб-сайты, существует много других шифровальщиков, которых интересуют ваши личные данные. Домашним пользователям стоит установить надежное защитное решение, регулярно делать бэкапы и избегать фишинга, так как сейчас это самый действенный способ распространения вредоносных программ.