Cuando un usuario intenta acceder a un sitio web infectado con CTB-Locker, descubre que este está inaccesible y muestra un mensaje como el que se puede ver en la imagen de abajo. Con el fin de descifrar el sitio web, el atacante pide un pago de 0,4 bitcoins.

¿Cómo trabaja este ransomware?

Esta versión de CTB-Locker reemplaza la página index del sitio web, que suele ser index.php o index.html (también puede tener otras extensiones según la tecnología de servidor empleada, como aspx o jsp). La página principal del ransomware contiene información indicando que el sitio web ha sido cifrado y que se pide un rescate para descifrarlo.

Evidentemente esto no es una broma, y aparte de la sustitución de la página index, cifra todos los ficheros relacionados con el sitio, abarcando páginas web, imágenes, ficheros de JavaScript e incluso las bases de datos, empleando una clave cifrada con AES-256.

La misma página de index indica los pasos a seguir para realizar el pago y rescatar el sitio web infectado y cifrado.

Con chat incorporado

Una peculiaridad de esta versión de CTB-Locker para servidores Linux es la incorporación de un chat que permite conversar con el atacante, posiblemente con el fin de ayudar a la víctima a realizar el pago del rescate.

Este servicio de chat se encuentra localizado en la misma página principal, una vez que el sitio web ha sido infectado por el ransomware.

Componentes de CTB-Locker para servidores web Linux

Este ransomware no solo cifra ficheros, sino que además añade los suyos propios, los cuales vamos a mencionar ahora:

  • index.php: Es el componente principal del malware y contiene las rutinas de cifrado y descifrado, así como la página de pago.
  • allenc.txt: Contiene una lista de todos los ficheros cifrados.
  • test.txt: Contiene la ruta y los nombres de dos ficheros que pueden ser descifrados de forma gratuita.
  • extensions.txt: Lista de las extensiones de fichero que tendrían que ser cifradas.
  • secret_(cadena específica del sitio): Es un fichero secreto usado por las funciones de Descifrado Gratuito y chat. Se encuentra en la misma carpeta que el index.

Por otro lado se ha descubierto los servidores de control designados para este ransomware:

  • http://erdeni.ru/access.php
  • http://studiogreystar.com/access.php
  • http://a1hose.com/access.php

Se cree que los desarrolladores de CBT-Locker se han aprovechado del trabajo de Jeiphoos, desarrolladora de otro ransomware que da la posibilidad a los usuarios de dirigirse a un sitio web alojado en Tor, “Encryptor RaaS”, que ofrece certificados digitales y permite cifrar cualquier ejecutable utilizado un certificado de clave de cifrado robado.

Si el usuario no paga el rescate en el tiempo establecido, la cuantía pedida para descifrar los ficheros se dobla y pasa a estar en 0,8 bitcoins.

Cómo descifrar dos ficheros cifrados de forma gratuita

Después de tomar el control del sitio web, el atacante suministra dos claves de cifrado AES-256 a través del index.

La primera clave permite descifrar dos ficheros de forma aleatoria, que pueden ser descifrados a través del fichero test.txt. En dicho fichero hay una sección llamada “Decrypt for Free” (descifrar gratis), en la cual podrá ejecutar un código en jquery para realizar peticiones a los servidores desingados y obtener la clave de descifrado. Una vez obtenida dicha clave, dos ficheros son descifrados y se muestra un mensaje que dice: “Congratulations! TEST FILES WAS DECRYPTED!!” (Enhorabuena, los ficheros de prueba han sido descifrados).

Para descifrar el resto se tiene que emplear la segunda clave cifrado, para lo cual se tiene que proceder al pago.

 

Fuente: muyseguridad