Ransomware : Les sites web sont visés
Un nouveau ransomware a fait son apparition. Un de plus, direz vous… Oui, mais cette fois, la cible n’est pas le pc personnel, ni même le serveur d’entreprise, mais le serveur web. Prenons le temps de découvrir cette nouveauté, afin de mieux anticiper.
CTB Locker
CTB Locker. C’est le nom que prend ce ransomware. Nous ne savons toutefois pas à l’heure actuelle s’il y a un rapport entre ce ransomware qui vise exclusivement les sites web, et le ransomware bien connu qui avait pour mission de crypter des données.
Identifiée par Stormshield il y a quelques jours, cette « variante » (encore que ce soit à confirmer qu’il s’agit bien d’une variante dérivée du CTB Locker qu’on connaît), s’attaque cette fois uniquement aux serveurs web. Stormshield déclare même avoir d’ors et déjà détecté une centaine de sites infectés.
« La particularité de CTB-Locker est d’infecter des sites Web pour chiffrer tout leur contenu afin de demander une rançon en échange de déchiffrement. »
Benoît Ancel, expert sécurité chez Stormshield confirme par cette déclaration le fonctionnement identique de cryptage de données, dans le but de demander une rançon.
CTB Locker for Website (ainsi nommé sur Bleeping Computer) chiffre les données sur le serveur (AES-256) et remplace la page index.html ou index.php par une autre page, expliquant aux administrateurs ce qui vient de se passer. La page installée promet de rendre les informations si une rançon de 0,4 bitcoin (soit un peu plus de 150€) est envoyée vers une adresse particulière.
Incitation au paiement
CTB Locker for WebSite met le paquet sur l’incitation au paiement.
La faible valeur demandée, tout d’abord, est évidement une stratégie pour inciter l’administrateur du site à payer.
Ensuite, la page mise en place ne contient pas uniquement des instructions, mais de véritables outils. Tout d’abord, un chat est proposé. Et si l’équipe répond, elle se paye même le luxe de le faire en 7 langues différentes, comme vous pouvez le voir ci-dessous. C’est assez hallucinant je trouve!
Crédit Bleeping Computer
Et enfin, pour prouver que les données seront bien restaurées si le pigeon gestionnaire du site paye, un outil « free decrypt » permet de décrypter deux fichiers au hasard, afin de prouver que le décryptage est bien en mesure de se faire, après virement de la somme demandée.
Plus d’infos
CTB Locker for WebSites créer une liste des fichiers cryptés sur le serveur.
La liste des extensions de fichiers visés actuellement est la suivante :
264, 3g2, asf, asx, avi, bik, dash, dat, dvr, flv, h264, m2t, m2ts, 3dm, 3ds, 3gp, 7z, a3d, aa, aac, ace, adp, ai, amr, ape, apk, apng, arj, asm, asp, aspx, aws, bas, bat, bbc, blend, bml, bmp, btm, bzip2, c, c4d, cab, cdr, cfm, cgi, cgm, clear, clf, cmd, coff, cpio, cpp, cpt, cs, csv, dds, deb, dgn, dicom, dif, dll, djvu, doc, docx, dta, dvi, dwg, dxf, edi, elf, emf, eps, exe, fbx, fig, flac, gif, gpx, gzip, h, ha, hdr, htm, html, iff, ihtml, phtml, img, inf, iso, jar, java, jpe, jpeg, jpg, js, jsp, lav, lha, lib, lwo, lws, lzo, lzx, m3d, ma, mac, maf, max, mb, md, mdf, mdl, mds, mhtml, midi, mkv, ml, mmf, mng, mod, mov, mp3, msi, mxf, nrg, obj, ods, odt, ogg, out, pas, pcl, pcx, pdf, pdn, php, pkg, pl, png, pos, prg, prt, ps, psd, py, pz3, rar, raw, rb, rib, rpm, rtf, sai, sd7, sdxf, sgml, sha, shtml, sldasm, sldprt, smc, smil, spr, stdf, stm, stp, svg, swf, sxc, tar, tex, texinfo, tga, tgz, tif, tiff, troff, txt, u3d, unity, uts, vob, vsm, vue, wav, wif, wire, wlmp, wma, wmf, wmv, x, x3d, xhtml, xls, xlsx, xmi, xml, xpm, xz, zip, zoo, m4v, mp4, mpeg, mpg, mswmm, mts, ogv, prproj, rec, rmvb, tod, tp, ts, webm, 3ga, aiff, cda, dvf, gp4, gp5, logic, m4a, m4b, m4p, pcm, snd, sng, uax, wpl, dib, dng, dt2, ico, icon, pic, thm, wbmp, wdp, webp, arw, cr2, crw, dcr, fpx, mrw, nef, orf, pcd, ptx, raf, rw2, csh, drw, emz, odg, sda, abr, ani, cdt, fla, icns, mdi, psb, pzl, sup, vsdx, 3D, 3d, dwfx, lcf, pro, pts, skp, stl, x_t, eot, otf, ttc, ttf, woff, aww, chm, cnt, dbx, docm, dot, dotm, dotx, epub, ind, indd, key, keynote, mht, mpp, mpt, odf, ott, oxps, pages, pmd, pot, potx, pps, ppsx, ppt, pptm, pptx, prn, pub, pwi, rep, sdd, sdw, shs, snp, sxw, tpl, vsd, wpd, wps, wri, xps, 1st, alx, application, eng, log, lrc, lst, nfo, opml, plist, reg, srt, sub, tbl, text, xsd, xsl, xslt, azw, azw3, cbr, cbz, fb2, iba, ibooks, lit, mobi, sdc, xlsm, accdb, accdt, mdb, mpd, one, onepkg, pst, thmx, big, hi, lng, pak, res, sav, save, scn, scx, wotreplay, wowpreplay, g64, gb, gba, mbz, n64, nds, nes, rom, smd, srm, v64, ova, ovf, pvm, vdi, vhd, vmdk, vmem, vmwarevm, vmx, ashx, atom, bc, class, crdownload, css, dlc, download, eml, gdoc, gsheet, gslides, json, part, partial, rss, torrent, xap, ldif, msg, vcf, app, com, cpl, gadget, lnk, scr, tmp, vbs, bin, drv, ocx, sys, vxd, 002, 003, 004, 005, 006, 007, 008, 009, 010, 7zip, a00, a01, a02, a03, a04, a05, air, arc, asec, bar, c00, c01, c02, c03, cso, gz, hqx, inv, ipa, isz, msu, nbh, rar, r00, r01, r02, r03, r04, r05, r06, r07, r08, r09, r10, sis, sisx, sit, sitd, sitx, tar.gz, webarchive, z01, z02, z03, z04, z05, bak, bbb, bkf, bkp, dbk, gho, ipd, mdbackup, nba, nbf, nbu, nco, old, sbf, sbu, spb, tib, wbcat, 000, ccd, cue, daa, dao, dmg, mdx, tao, tc, toast, uif, vcd, crypt, ipsw, npf, pkpass, rem, rsc, gdb, ofx, qif, db, dbf, fdb, idx, msmessagestore, sdf, sql, sqlite, wdb, kml, kmz, map, appx, appxbundle, blf, dump, evtx, kext, mui, sfcache, swp, cnf, contact, deskthemepack, ics, ifo, lrtemplate, m3u, m3u8, pls, skn, svp, template, theme, themepack, trm, wba, plugin, safariextz, xpi, inc, jad, o, rc, scpt, src, cfg, ini, usr, dmp, ksd, pfx, ut, adadownload, cache, temp, 3dr, cal, dct, dic, gbk, md5, prj, ref, upd, upg
Vous trouverez plus d’infos chez Bleeping Computer
Et n’oubliez pas : Une sauvegarde quotidienne de votre serveur web, téléchargée en lieu sur, est la meilleure solution à mettre en place (en plus de veiller à patcher les services et applicatifs bien sur).