ctb-locker

FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
Web版勒索软件CTB-Locker PHP源码现身GitHub 寰者专栏作者2016-03-02金币奖励+8共226734人围观 ，发现 6 个不明物体 WEB安全资讯
1.png

勒索软件CTB-Locker出现其Web演化版本，可感染网页站点。据分析，其编码为采用PHP编写，目前源码已被托管至GitHub上。

Web版勒索软件CTB-Locker的首次出现
就在今年西方情人节前夕，英国的一位站长却有一个不愉快的发现，他查看到其管理的网站页面遭受篡改，篡改页面上呈现的信息看起来跟电脑感染恶意勒索软件的情形相似，其主要信息是让站点管理员支付比特币，换取相应目录文件的解密，以便使站点恢复正常。篡改页面如下图，

2.png3.png
在被验证为首次针对网页的勒索事件后，该事件便得到极大的关注。但其实作为服务器管理员来说，开始都只是希望这仅仅是一次性事件，而不是攻击者预谋的开端。

在初始阶段，实际上并无发现其他感染事件，而情况在过去的一个星期中有了极大的转变。在这段时间内频繁出现上述的网页勒索感染事件。据悉，到目前有超过100个同类型事件被发现。在篡改的信息中其幕后操纵者要求受害者支付0.4个比特币，并且如在两天内未完成支付，支付额度将提升至0.8个比特币。以下为其要求支付比特币的源码：

该勒索程序在勒索支付通知上，跟CTB-Locker为同一模型。但单单从技术上来看，这跟“声名远扬”的CTB-Locker勒索软件的情况不符。因其仅运行于Windows桌面环境，而并无法运行在 Linux Web服务器上。

Web版CTB-Locker采用PHP编写
来自 Stormshield的安全分析员Benkow，设法分析勒索软件的运行模式并从一个受感染的对象提取到了源代码。随后，Benkow将Web版CTB-Locker 源码上传至 KernelMode论坛上，供其他安全研究人员分析和研究。而Web版CTB-Locker的“知名度”便迅速提升，其源码也被托管至GitHub。

源代码地址请点击：GitHub

考虑到，此前勒索软件Hidden Tear源码也托管至GitHub，但事情最终却没有朝着有利于用户的方向进展。而结合当前的情形，可以预见，在接下来的数个月中，将可能出现大规模的针对网页站点进行的攻击感染。

而据Benkow的研究分析，Web版CTB-Locker是采用PHP编写，其中使用高强度的AES-256加密算法。具体可参考GitHub上的源码。

感染点目前仍然未知
目前尚未发现该勒索程序如何感染服务器主机的。其中值得注意的是，从统计的情况来看，受感染的主机运行Linux和Windows双系统，他们中的绝大多数（73%）主机启用着Exim 服务（SMTP服务器）。Benkow也补充解释说，

其中大部分主机均运行着一个webshell，其可通过 ‘logout.php’动态页面进行访问。

此外，许多感染的站点被发现仍然存在Shellshock漏洞，而该漏洞实际上在一年多以前已经发布了补丁。从统计的情况来看，其中存在较大的问题是大部分站点往往忽略了自身站点的漏洞问题，未能对其进行修复，导致这些漏洞可能被攻击者所利用。

此前也出现过勒索软件感染Web服务器事件
在2015年的12月份，安全研究人员发现Linux.Encoder勒索软件家族已经有了针对Web服务器的功能，据研究分析，Linux.Encoder是采用 C 以及C++进行编写，而其跟Web版CTB-Locker并无关联。

结语
在日益严峻的安全形势下，站点的管理员应将自身站点版本更新到最新。同时在可能的情况下，应使用多种扫描工具交叉检测，对管理的站点进行漏洞扫描，以便及时发现漏洞并进行修复加固。

*参考来源：soft、github、ker，FB小编troy编译，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）

寰者
寰者
75 篇文章
等级： 7级
||
上一篇：安全研究人员发现 Hacking Team 新开发不易察觉的Mac恶意软件下一篇：SSCTF线上赛解题报告Part2（杂项部分&Web）
发表评论已有 6 条评论

不知道 2016-03-02回复 1楼
那要是没比特币怎么办？

亮了(1)

夜尽天明 (6级) 千秋邈矣独留我，百战归来再读书 2016-03-02回复
@ 不知道 跟别人买，然后再支付

亮了(0)

乡儒以墨 2016-03-02回复 2楼
这有什么意义？开发版本在管理员本地… 服务端只是业务版本啊…

亮了(0)

小纯洁哥 (1级) 2016-03-02回复 3楼
急需开发版本 一大堆政府网站等着我日呢

亮了(2)

Redbaron 2016-07-15回复
@ 小纯洁哥 Wickr联系我essayking，我有最新le suo ruan jian

亮了(0)

cwg2552298 (6级) Follow my own course 2016-03-02回复 4楼
又是勒索……

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
寰者
寰者专栏作者

这家伙太懒，还未填写个人描述！

75
文章数
33
评论数
最近文章
僵尸网络的发展，“智能设备”可帮了大忙（含Top 10物联网设备弱口令 ）
2016.10.09

【BlackHat 2016专题】黑客奥斯卡：Pwnie Awards那些事儿
2016.08.02

对话印度黑客：CloudSec云安全公司创始人Rahul Sasi
2016.07.05

浏览更多
相关阅读
研究人员欲公布微软Edge浏览器0-day沙盒逃逸漏洞高度可定制化的远程访问木马“Remvio”，仅售58美金黑莓愿意递交用户数据，协助各国警方执法分享一段struts st2漏洞批量查找的Python代码安全产品评测：阿里云盾安全威胁情报“态势感知”
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php0daybank