02-03-2016, 07:38
<r>CTB-Locker est un ransomware codé en PHP, ce programme malveillant qui chiffre les fichiers sur les serveurs web s'est attaqué à quelques centaines de site web dans les dernières semaines. <br/>
<br/>
<SIZE size="150"><s></s><B><s></s>Son fonctionnement ?<e></e></B><e></e></SIZE><br/>
Une fois qu’il est installé sur un serveur web, le programme remplace le fichier d’entrée index.php et crée un répertoire appelé Crypt qui contient des fichiers PHP supplémentaires. Il commence alors à chiffrer tous les fichiers du répertoire web lorsqu’il reçoit une requête de l’attaquant. Quand le processus de chiffrement est achevé, la page d’accueil du site web affiche un message demandant un paiement en bitcoin, la monnaie virtuelle utilisée sur Internet.<br/>
<br/>
<SIZE size="150"><s></s><B><s></s> La première attaque<e></e></B><e></e></SIZE><br/>
Rencencé le 12 Février en Grande Bretagne, elle avait pour cible l'association britannique d'aide psychologique et de psychothérapie. Le site avait été touché par une véritable attaque de ransomware ou s’il s’agissait seulement d’effrayer les propriétaires du site. C'est grâce à des chercheurs de stormshiel (une filiale de airbus defense and space) qui ont réussi à avoir une copie complète du code malveillant.<br/>
<br/>
On ne sait cependant pas comment ils ont pu infiltré les sites web en questions, car les sites n'utilisaient pas de système de gestion de contenus. Les hôtes exploités étaient sous Linux et Windows.<br/>
<br/>
<SIZE size="150"><s></s><B><s></s>Menace similaire en Novembre<e></e></B><e></e></SIZE><br/>
En Novembre, une menace similaire a eu lieu. Un web shell protogé par un mot de passe a été installé sur la plupart des sites touchés. Il s’agit d’un programme de type backdoor, une porte dérobée que les attaquants installent sur les serveurs web une fois qu’ils sont parvenus à y entrer sans autorisation. CTB-Locker n’est pas le premier ransomware à cibler les sites web. En novembre, des chercheurs ont découvert une menace similaire dénommée Linux.Encoder.1, mais ce programme semblait expérimental et il présentait des failles sur son chiffrement qui ont permis de créer un outil de déchiffrement. Mais celui ci a surement fourni une source d'inspiration les logiciels malveillants de ce genre. <br/>
<br/>
Selon les experts de l'éditeur d'outils de sécurité Kaspersky, cette nouvelle variante, qui ne s’en prend donc qu’aux sites web, a réussi à chiffrer les fichiers racines de plus de 70 serveurs dans 10 pays dont, en Europe, la Belgique, l’Italie et la Norvège.<br/>
<br/>
<ALIGN align="center"><s>
source : Le monde informatique<br/>
<URL url="http://www.lemondeinformatique.fr/actualites/lire-ransomware-ctb-locker-s-en-prend-aux-sites-web-64073.html"><LINK_TEXT text="http://www.lemondeinformatique.fr/actua ... 64073.html">http://www.lemondeinformatique.fr/actualites/lire-ransomware-ctb-locker-s-en-prend-aux-sites-web-64073.html</LINK_TEXT></URL></r>
<br/>
<SIZE size="150"><s></s><B><s></s>Son fonctionnement ?<e></e></B><e></e></SIZE><br/>
Une fois qu’il est installé sur un serveur web, le programme remplace le fichier d’entrée index.php et crée un répertoire appelé Crypt qui contient des fichiers PHP supplémentaires. Il commence alors à chiffrer tous les fichiers du répertoire web lorsqu’il reçoit une requête de l’attaquant. Quand le processus de chiffrement est achevé, la page d’accueil du site web affiche un message demandant un paiement en bitcoin, la monnaie virtuelle utilisée sur Internet.<br/>
<br/>
<SIZE size="150"><s></s><B><s></s> La première attaque<e></e></B><e></e></SIZE><br/>
Rencencé le 12 Février en Grande Bretagne, elle avait pour cible l'association britannique d'aide psychologique et de psychothérapie. Le site avait été touché par une véritable attaque de ransomware ou s’il s’agissait seulement d’effrayer les propriétaires du site. C'est grâce à des chercheurs de stormshiel (une filiale de airbus defense and space) qui ont réussi à avoir une copie complète du code malveillant.<br/>
<br/>
On ne sait cependant pas comment ils ont pu infiltré les sites web en questions, car les sites n'utilisaient pas de système de gestion de contenus. Les hôtes exploités étaient sous Linux et Windows.<br/>
<br/>
<SIZE size="150"><s></s><B><s></s>Menace similaire en Novembre<e></e></B><e></e></SIZE><br/>
En Novembre, une menace similaire a eu lieu. Un web shell protogé par un mot de passe a été installé sur la plupart des sites touchés. Il s’agit d’un programme de type backdoor, une porte dérobée que les attaquants installent sur les serveurs web une fois qu’ils sont parvenus à y entrer sans autorisation. CTB-Locker n’est pas le premier ransomware à cibler les sites web. En novembre, des chercheurs ont découvert une menace similaire dénommée Linux.Encoder.1, mais ce programme semblait expérimental et il présentait des failles sur son chiffrement qui ont permis de créer un outil de déchiffrement. Mais celui ci a surement fourni une source d'inspiration les logiciels malveillants de ce genre. <br/>
<br/>
Selon les experts de l'éditeur d'outils de sécurité Kaspersky, cette nouvelle variante, qui ne s’en prend donc qu’aux sites web, a réussi à chiffrer les fichiers racines de plus de 70 serveurs dans 10 pays dont, en Europe, la Belgique, l’Italie et la Norvège.<br/>
<br/>
<ALIGN align="center"><s>
</s><URL url="http://www.hostingpics.net"><s></s><IMG src="http://img15.hostingpics.net/pics/179085ctb.jpg"><s>[img]</s>http://img15.hostingpics.net/pics/179085ctb.jpg<e>[/img]</e></IMG><e></e></URL><e>
</e></ALIGN> <ALIGN align="center"><s></s>Le message affiché lors de l'infection.<e>
</e></ALIGN>source : Le monde informatique<br/>
<URL url="http://www.lemondeinformatique.fr/actualites/lire-ransomware-ctb-locker-s-en-prend-aux-sites-web-64073.html"><LINK_TEXT text="http://www.lemondeinformatique.fr/actua ... 64073.html">http://www.lemondeinformatique.fr/actualites/lire-ransomware-ctb-locker-s-en-prend-aux-sites-web-64073.html</LINK_TEXT></URL></r>
<t></t>
![[-]](https://www.tisi-fr.com/board/images/collapse.png)
