勒索軟體攻擊從個人電腦轉到網站

2月13日,英國心理諮商及心理治療協會(BACP)網頁被置換預示著新一代的勒索軟體變種已經從感染桌上型電腦演化到恐嚇網站。陸陸續續網頁伺服器檔案被加密,影響了超過100個網站的報導宣告勒索軟體 Ransomware攻擊從個人電腦轉到網站的新發展。

alert 病毒警訊

這個勒索軟體 Ransomware變種CTB-Locker使用PHP編碼,會加密使用WordPress的網站。接著替換index.php來讓首頁顯示勒贖訊息。有意思的是,會提供聊天室功能來讓受害者跟資料綁匪間能夠進行對話​。

安全研究人員Lawrence Abrams將這勒索軟體稱為CTB-Locker for Websites,並且在他的發現中分享:「一旦開發者(攻擊者)可以存取一個網站,他們將原有的index.php或index.html重新命名為original_index.php或original_index.html。然後,上載開發者所製作的新index.php來執行加解密和顯示勒贖訊息給被駭網站。要特別指出的是,如果網站不是使用PHP,CTB-Locker for Websites將無法作用。

從首篇報導的勒索軟體 Ransomware事件中,難以判斷此攻擊是否該被稱為勒索軟體攻擊或只是想要引起目標網站所有者的恐懼心理。研究人員隨後從受影響網站之一取得惡意程式碼的完整副本,發現迄今至少有102個網站被感染。

截至目前為止,沒有明顯證據指出勒索軟體 Ransomware攻擊者是如何注入和安裝惡意軟體到網站中。安全專家排除是使用WordPress的漏洞,因為有些受影響網站並非使用CMS。他們報告:「受感染主機執行Linux和Windows的都有,大部分人(73%)具有Exim服務(SMTP伺服器)。

研究人員補充道,大部分受影響網站出現有密碼保護的Webshell,這代表攻擊者將此後門程式安裝到他們已經可以非法存取的網頁伺服器上。也有人指出,大多數受害網站仍然具有Shellshock漏洞,雖然這在一年前就已經被修補。這些都顯示出受感染網站並沒有進行適當的管理和維護,因為沒有安裝更新軟體。

直到本文撰寫時,沒有已知工具可以解密受害者的檔案。

這並非第一次有勒索軟體 Ransomware針對網站。在2015年11月,Linux.Encoder.1也做一樣的事情。但一個加密缺陷讓研究人員可以開發出解密工具,立刻的加以反擊。這次可能是攻擊者想要複製相同戰術,但是做得更好。也就是說,這可能是另一類型勒索軟體 Ransomware要開始肆虐的前兆,使用者在未來幾個月內要小心注意。

 

@原文出處:Ransomware Attack Jumps from PC to Websites

★你付錢了嗎?別讓檔案當肉票!勒索軟體常見問題集
★看更多勒索軟體文章…….


PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密

Windows10Banner-540x90v5

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載


 

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 


▼ 歡迎加入趨勢科技社群網站▼

好友人數