باج‌افزار CTB-Locker به سرعت در حال انتشار بوده و هزاران کارگزار وب را آلوده کرده است

طی چند سال گذشته، افزایش بی‌شماری را در تهدیدهای باج‌افزاری مشاهده کرده‌ایم، از باج‌افزار کریپتووال گرفته تا Locky که هفته‌ی پیش کشف شد.
اکنون، نوع دیگری از باج‌افزار به خانواده‌ی باج‌افزار CTB-Locker افزوده شده است.
باج‌افزار تغییر شکل یافته‌ی جدیدی با نام CTB-Locker برای وب‌گاه‌ها، منحصراً وب‌گاه ‌ها را با قفل کردن اطلاعات آن‌ها مورد نفوذ قرار می‌دهد که تنها پس از پرداخت ۰٫۴ بیت‌کوین قفل آن‌ها باز خواهد شد.
به نظر می‌رسد این اولین باری است که یک باج‌افزار هنگام تلاش برای متقاعد کردن مدیران وب‌گاه‌ها برای پرداخت باج تقاضاشده، واقعاً آن وب‌گاه را محو کرده است.

باج‌افزار CTB-Locker برای وب‌گاه‌ها چگونه کار می‌کنند؟
لارنس توضیح داد که باج‌افزار CTB-Locker این صفحه‌ی نمونه از کارگزارهای میزبان وب‌گاه‌ها را با صفحه‌ی تخریب‌شده‌ی نفوذگر (یک index.php جدید آلوده‌شده) جایگزین کرده است.
صفحه‌ی تخریب‌شده پیامی را نشان می‌دهد که به مدیر وب‌گاه اطلاع می‌دهد که پرونده‌‌های آن‌ها قفل شده و تا قبل از زمان مشخصی باید باج مشخص‌شده را بپردازند.
هنگامی که وب‌گاه قفل شد، این وب‌گاه آلوده‌شده پیغام زیر را نمایش می‌دهد:
«نوشته‌ها، اسناد، عکس‌ها، پایگاه داده‌ها و دیگر اطلاعات مهم با قوی‌ترین الگوریتم رمزنگاری AES-۲۵۶ و رمز منحصربه‌فردی که برای این وب‌گاه‌ ایجاد شده قفل شده است.»
این پیام همچنین حاوی یک راهنمای گام به گام است که به قربانیان CTB-Locker کمک می‌کند که باج خواسته شده را به یک آدرس بیت‌کوینی مخصوص بفرستند.

رمز رایگان برای باز کردن ۲ پرونده‌‌ی تصادفی
به زودی پس از به دست گرفتن کنترل وب‌گاه‌، نفوذگر پشت پرده‌ی باج‌افزار، دو کلمه‌ی عبور رمزگذاری مختلف AEs-۲۵۶ را ارائه می‌دهد.
اولین رمز برای باز کردن رایگان ۲ پرونده‌ی‌ تصادفی از پرونده‌‌های قفل‌شده تحت عنوان «آزمایش» می‌باشد که برای نشان دادن فرآیند رمزگشایی انتخاب شده است.
هنگامی که مدیر وب‌گاه‌ نام پرونده‌ را وارد ‌کند و «رمزگشایی رایگان» را کلیک کند، jquery درخواست را برای آزمایش کلمه‌ی عبور رمزگشایی در یک کارگزار c&c روشن می‌کند.
کلمات عبور دیگر رمزهایی برای بازگشایی مابقی پرونده‌‌های قفل شده می‌باشد، البته پس از پرداخت باج به صورت بیت‌کوین به نفوذگر.
همه‌ی محتوای وب‌گاه‌ با استفاده از الگوریتم AES-۲۵۶ قفل خواهند شد و یک ID منحصربه‌فرد برای هر وب‌گاه‌ آلوده ایجاد خواهد شد.
تقریباً تمامی گونه‌های احتمالی سوءاستفاده از پرونده‌‌ها با باج‌افزار CTB-Locker آلوده می‌شوند.

نفوذگرهای پشت پرده‌ی باج‌افزار
لارنس در وبلاگش اشاره کرد که ویژگی منحصربه‌فرد این باج‌افزار ‌این است که به قربانی توانایی این را می‌دهد که با نفوذگرها پیام‌هایی رد و بدل کنند.
توسعه‌دهندگان این باج‌افزار چت‌رومی را به شیوه‌ای تنظیم کرده‌اند که قربانیان پس از مشخص کردن نام پرونده‌‌ی محرمانه‌ای که در مسیر مشابهی با index.php موجود است، بتوانند با سازندگان باج‌افزار صحبت کنند.
CTB-Locker برای وب‌گاه‌ ← تغییر دسته‌بندی‌ها در کارگزار
Ctb-Locker برای وب‌گاه‌ از انواع پرونده‌‌هایی که در زیر تعریف شده‌اند استفاده می‌کند:
•Index.php جزء اصلی CT-Locker برای وب‌گاه‌ها و حاوی رمزنگاری و روال عادی رمزگشایی همانند صفحه‌ی پرداخت.
•Allence.txt حاوی فهرستی از تمامی پرونده‌‌های رمزگذاری شده است.
•Test.txt حاوی مسیر و نام پرونده‌‌ها برای دو پرونده‌ی‌ از پیش انتخاب شده که می‌تواند به صورت رایگان باز شوند.
•Victims.txt حاوی فهرستی از تمامی پرونده‌‌هایی است که رمزگذاری شده‌اند. اما پرونده‌‌هایی که قبلا رمزگذاری شده‌اند نیز در این فهرست آورده می‌شود.
•Extensions.txt فهرستی از پسوند پرونده‌‌هایی که باید رمزگذاری شوند.
•Secret [site-specific-string] پرونده‌‌ی محرمانه‌ی استفاده‌شده توسط رمزگشایی رایگان و دستور العمل چت‌کردن و در فولدر مشابهی با پرونده‌ی‌ index.php قرار داده شده است.

محل کارگزار کنترل و فرمان‌دهی
براساس گفته‌ی بنکو وکند(@benkow) محقق امنیتی که CTB-Locker برای وب‌گاه‌ را کشف کرد، فهمید که صفحه‌ی index.php از دستورالعمل jQuery.post() برای ارتباط و ارسال اطلاعات برای کارگزارهای (C&C) فرمان‌دهی و کنترل باج‌افزار استفاده می‌کند.
به تازگی، سه کارگزار کنترل و فرمان‌دهی برای CTB-Locker برای وب‌گاه‌ها توسط محققان کشف شده است:
•http://erdeni.ru/access.php
•http://studiogreystar.com/access.php
•http://a۱hose.com/access.php
این باج‌افزار هم‌چنین زمانی را برای مدیران وب‌گاه‌ تعیین می‌کنند تا پرونده‌‌ها را بازگردانند. اما نپرداختن بیت‌کوین در مدت زمان معلوم‌شده مقدار باج را دو برابر می‌کند.

CTB-Locker برای ویندوز
CTB-Locker برای وب‌گاه‌ها آخرین نمونه از خانواده‌ی باج‌افزارها نخواهد بود. باج‌افزار با استفاده از کد قابل اجرای مشخص‌شده با یک اعتبار دزدی، به محیط ویندوز وارد شده است.
معمولاً، هدف امضای دیجیتالی اطمینان دادن به عموم درباره‌ی اصل بودن محصولات است. این اعتبار تنها پس از این‌که بررسی زمینه توسط CA انجام شد، ارائه می‌گردد مانند Verizon و DigiCert.
اما، گروه مجرمان سایبری پشت باج‌افزار CTB-Locker در اصل بودن اعتبارات دیجیتالی دخالت‌هایی کرده‌اند. نسخه‌ی قابل اجرای باج‌افزار CTB-Locker در ویندوز با یک امضای دیجیتالی از پیش تعیین شده می‌آید.

استفاده از رمزنگار raas برای اعتبار مشخص‌کننده‌ی کد
محققان بر این باورند که گروه پشت باج‌افزار CBT از مزایای jeiphoos استفاده کرده‌اند. Jeiphoos پیشرفت‌دهنده‌ی باج‌افزار دیگری است که به مردم اجازه می‌دهد به وب‌گاه‌ Tor رمزنگاری raas بروند که اعتبارات امضای دیجیتالی رایگان را ارائه می‌دهد و هر اعتبار امضاکننده‌ی کد به سرقت رفته قابل اجرا را مشخص می‌کند.
به سرقت بردن امضای دیجیتالی جدید نیست چرا که در چارچوب‌هایی از سال‌ها پیش جای دارند. نفوذ کردن به وب‌گاه‌ یک شرکت از نظر اقتصادی روی خدماتی که به کاربر از طریق وب‌گاه‌ ارائه می‌‌دهد تأثیر می‌گذارد. بنابراین این مشکل به سطح دیگری منتقل می‌شود. اما اگر خطری یک وب‌گاه‌ بازرگانی الکترونیکی را آلوده کند، قسمت اصلی در حمله‌ی POS خواهد بود.
از آنجایی که این مشکل به جدی بودن باج‌افزار Locky که از ماکروها استفاده می‌کند نیست، مدیر وب‌گاه‌ می‌تواند با استفاده از پرونده‌های پشتیبان اطلاعات را بازگرداند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap