CBT-Locker ransomware je inficirao hiljade veb servera

U posljednje vrijeme primjetan je rast ransomware napada. Pojavila se nova grana u porodici CTB-locker ransomware-a koja napada veb servere. Novi CTB-locker napada veb servere gdje zaključava datoteke, nakon čega mjenja index.php sa porukom u kojoj zahtjeva 0.4 bitcoin-a.  

Virus koristi AES-256 za zaključavanje datoteka. Novina kod ovog ransomware-a je što na index.php stranici ostavi ključ za testno dekriptovanje. Ovim ključem administrator može dekriptovati dve datoteke iz test direktorijuma kako bi probao proces dekripcije.  

CTB-Locker daje vremenski rok u kome je potrebno uplatiti sredstva, u suprotnom otkupnina se povećava na 0.8 bitcoin-a. 

Još jedna karakteristika ovog virusa je to što omogućava komunikaciju sa napadačima preko chat sobe. 

Do sada su istraživači identifikovali tri domena na kojima se nalaze serveri za kontrolu. 

• http://erdeni.ru/access.php 
• http://studiogreystar.com/access.php 
• http://a1hose.com/access.php 

Pošto većina ransomware-a koristi enkripcione algoritme koje je u najčešćem slučaju nemoguće razbiti prevencija je jedina mjera zaštite. 

Preporučujemo administratorima i korisnicima da : 

• Redovno ažuriraju svoje aplikacije. 

• Redovno prave backup-e važnih datoteka. 

• Ne otvaraju sumnjive email-ove i attachment-e. 

• Blokiraju komunikaciju sa adresama i domenima  koji su poznati kao serveri za kontrolu virusa (C&C serveri).

Izvor:thehackernews.com