新たなランサムウェアの亜種が WordPress サイトを襲撃し、データを暗号化して、ファイルの解放と引き換えにビットコインの半分の支払いを要求しているようだ。
CTB Locker の Web サイト亜種は、WordPress ベースのサイト上のすべてのファイルを暗号化し、index.php を身代金の支払い手順を表示するファイルに置き換えます。
認証された被害者がランサムウェアの犯人と言葉を交換できるチャット ルーム サポート機能も備えています。
研究者のベンコウ・ウォクネッド氏(@benkow_)とトマス・メスカウスカス氏(@pcrisk)がこのマルウェアを発見し、数百のサイトに感染している可能性があると警告した。
攻撃者は身代金要求の正当性を証明するために、被害者が別々に暗号化された 2 つのファイルを無料で復号できるようにしています。
攻撃によって暗号化されたファイルを復号する手段はまだ存在していないため、被害者はファイルを復元したくてもバックアップがない場合は、身代金を支払わなければならない。
Bleeping Computerのブロガー、ローレンス・エイブラムス氏は、急成長を遂げている新たなランサムウェアがWordPressサイトを標的にしていると示唆しています。エイブラムス氏の見解は以下のとおりです。
開発者(攻撃者)がサイトにアクセスすると、既存のindex.phpまたはindex.htmlの名前をoriginal_index.phpまたはoriginal_index.htmlに変更します。次に、開発者が作成した新しいindex.phpをアップロードします。このindex.phpは、ハッキングされたサイトの暗号化、復号、そして身代金要求メッセージの表示を実行します。ウェブサイトがPHPを使用していないと、CTB-Locker for Websitesは機能しないことに注意してください。
現在感染しているサイトに残された CTB ロッカー メッセージ。
複数のサイトや企業が影響を受けました。英国ミルトン・キーンズにある、医療・タバコ業界向け機械を製造する企業も被害に遭いました。Woknedは、他の研究者が調査できるよう、ランサムウェアのソースコードをKernelmodeにアップロードしました。
ランサムウェアは、キーを必要とせずに復号化を可能にする暗号化実装の欠陥を探すホワイトハットマルウェア研究者によって定期的に攻撃されています。
こうした攻撃は通常、ポイントアンドクリック ツールに組み込まれ、ユーザーに無料で配布されます。
BitDefenderは、Linux.Encoderランサムウェアの3つの亜種に設計上の欠陥を発見し、それを悪用して、絶望的なランサムウェアチームの暗号化の夢を打ち砕いた。
その結果、皮肉屋のセキュリティ業界は、悲劇的に決意を固めたブラックハットたちに暗号化のヒントを提供するに至りました。®
