Les rançongiciels (ransomwares) s’attaquent aussi aux sites web

mardi 04 avril 2017

Le fléau des ransomwares continue. Ecrit en PHP, un nouveau « rançongiciel » reprenant le nom de CTB-Locker – qui s’attaquait aux ordinateurs sous Windows – vise cette fois-ci les sites web en chiffrant l’ensemble des fichiers de leurs répertoires.

Un programme malveillant qui chiffre les fichiers sur les serveurs web s’en est pris à une centaine de sites au cours des quelques dernières semaines, signalant une recrudescence dans le développement de ransomwares, ces logiciels utilisés par les pirates pour bloquer les utilisateurs de leurs victimes et leur réclamer une rançon. Celui-ci est écrit en PHP et sévit sous la dénomination de CTB-Locker. Ce nom est déjà utilisé par l’un des ransomwares les plus largement répandus sur les ordinateurs sous Windows. On ne sait pas exactement, toutefois, s’il y a une relation entre les deux.

Une fois qu’il est installé sur un serveur web, le programme remplace le fichier d’entrée index.php et crée un répertoire appelé Crypt qui contient des fichiers PHP supplémentaires. Il commence à chiffrer tous les fichiers du répertoire web lorsqu’il reçoit une requête de l’attaquant. Quand le processus de chiffrement est achevé, la page d’accueil du site web affiche un message demandant un paiement en bitcoin, la monnaie virtuelle utilisée sur Internet.

 

En janvier dernier, en France, on a notamment appris que le ministère des Transports avait subi une série d’attaques de ransomwares ayant bloqué de nombreux PC.