WordPress ransomware: software malicioso de chantaje en sitios web

Wordfence, los desarrolladores detrás de la Complemento de seguridad de WordPress para Wordfence, se encontró con el ransomware de WordPress en julio de 2017, que ransomware EV se llama. Este ransomware de WordPress ataca sitios web y sus operadores. Qué ideas ha podido sacar a la luz Wordfence hasta ahora, qué soluciones de seguridad están disponibles y más, puede encontrarlas aquí.

"EV Ransomware" es el nombre del ransomware de WordPress descubierto por Wordfence e incluido en la base de datos del complemento de seguridad de WordPress de Wordfence, que cifra los archivos en el sitio web atacado.
“VE Ransomware” es el nombre del ransomware de WordPress descubierto por Wordfence e incluido en la base de datos del complemento de seguridad de WordPress de Wordfence, que cifra los archivos en el sitio web atacado.

¿Qué es el ransomware?

El ransomware es malware que encripta datos, archivos y, a veces, discos duros completos en la PC o Mac. Luego, el sistema se bloquea y el usuario solo puede volver a desbloquearlo con una contraseña específica; a menudo se establece una fecha límite para esto. Dentro de este plazo, el usuario debe transferir un rescate al remitente del ransomware, generalmente en forma de bitcoins. Después de recibir el pago, se enviará (con suerte) la contraseña para la liberación de los datos y archivos. El ransomware de WordPress ahora es un ataque de cifrado en sitios web y sus operadores.

Más sobre: MacRansom ataca Mac / Copia de seguridad de datos como protección contra malware

Ransomware de WordPress: Ataques ahora también en sitios web

WordPress es el sistema elegido por muchos operadores de sitios web para publicar diversos contenidos, textos y medios, como imágenes, videos y pistas de audio en Internet. Además, WordPress ofrece mucha libertad para su propio diseño y administración mediante complementos. Ya sea de uso gratuito o aplicación completa con servicio de host y todos los adornos: a través de WordPress ransomware son tienden a ser millones de sitios web en peligro. Wordfence, los desarrolladores detrás de la Complemento de seguridad de Wordfence WordPress, han publicado lo siguiente al respecto:

“La mayoría del ransomware se dirige a las estaciones de trabajo de Windows. Sin embargo, el equipo de Wordfence actualmente está rastreando una variedad emergente de ransomware que se dirige a los sitios web de WordPress. Durante nuestro análisis del tráfico malicioso dirigido a sitios de WordPress, fuimos testigos de varios intentos de carga de ransomware, que brindan al atacante la capacidad de cifrar los archivos de un sitio de WordPress y luego extorsionar al propietario del sitio”. fuente

La interfaz del malware, que se puede utilizar para implementar el código para cifrar y descifrar los datos del sitio web. (Fuente: Wordfence.com)
La interfaz del malware, que se puede utilizar para implementar el código para cifrar y descifrar los datos del sitio web. (Fuente: Wordfence.com)

Ransomware EV: motivo del nombre

El ransomware de WordPress encontrado por Wordfence fue nombrado ransomware EV bautizado. Esto se debió al comportamiento en el manejo de los archivos de los sitios web atacados. Estos se empaquetan primero en un archivo cifrado, luego se eliminan y se reemplazan por archivos del mismo nombre con la extensión .EV sustituido. Según Wordfence, los siguientes archivos/extensiones no se ven afectados por el cifrado/cambio:

  • . Php
  • .png
  • 404.php
  • .htaccess
  • .index.php
  • DyzW4re.php
  • index.php
  • .htaDyzW4re
  • .lol.php

Además, al cifrar los datos del sitio web, se crea un EV.php, que muestra la interfaz que se muestra arriba, donde el usuario puede ingresar el código de descifrado. Sin embargo, según el equipo de seguridad cibernética de Wordfence, como resultado, el descifrado de los datos está incompleto. Si sucede en absoluto.

no pagues rescate

Dado que es poco probable que los propietarios de sitios web descifren sus datos y se les envíen de manera que puedan volver a usarse de manera segura, Wordfence dice que deben pagar el rescate exigido. no pagar.

Así es como puedes protegerte

WordPress no es un gran tema, pero es un tema importante en este blog. Es por eso que creo que entre ustedes, lectores, probablemente haya uno u otro operador de sitio. Es por eso que me gustaría transmitirle los consejos de protección de Wordfence para que pueda estar en guardia contra el malware.

En primer lugar, el proveedor de seguridad de WordPress apunta a su propia oferta y los beneficios de su Complemento de seguridad de WordPress para Wordfence allá. El malware se detectó por primera vez el 7 de julio de 2017; el 12 de julio de 2017, el firewall de la oferta de valores se ajustó en consecuencia. Esto es para detener los intentos de cargar el software de encriptación y chantaje. Además, el escaneo del complemento detecta el ransomware al revisar el sitio web. Desde el 11 de agosto de 2017, el servicio de protección está disponible ransomware EV también disponible para los usuarios de la versión gratuita.

Otro consejo en lo que respecta a la protección contra el malware que puede paralizar tu página de inicio no está relacionado con lo que ofrece Wordfence, sino que se aplica a todo tipo de dificultades que puedes encontrar con tus datos: hacer copias de seguridad. Una copia de seguridad de su página de inicio, que no almacena en el mismo servidor sino localmente o en una nube, lo ayudará a restaurar su sitio sin rescate y (quizás sin siquiera tener lugar) el descifrado de sus datos.

¿Quiénes son los responsables?

Se dice que el ransomware apareció por primera vez como código en GitHub en mayo de 2016. La segunda generación de código y software actualmente en uso solo apareció en 2017. Lo interesante del asunto: como autor error7sec declaró, un grupo de Indonesia que se hace llamar Business Consultants en su página de Facebook. Según Wordfence, también se pueden encontrar palabras en indonesio en el código del ransomware.

Además, un video de YouTube, cuyo audio se puede escuchar cuando se carga el ransomware, lleva a Indonesia, a través del rap indonesio en el audio y el título, que, entre otras cosas, el término abrilifantasma contiene - en Twitter y Facebook esto también se representa como una fuente de Indonesia. Además, después de la carga, el ransomware también conduce automáticamente al foro de hackers de Indonesia después de un tiempo. errorviolencia.com. Además, las direcciones IP relacionadas con el ransomware se rastrearon hasta Yakarta.

Detalles técnicos

Después del cifrado o después de cada creación de un directorio, el malware envía un correo electrónico a la dirección "htaccess12@gmail.com". La información sobre el host y la clave utilizada se envía en el correo electrónico. Wordfence señala algunos detalles técnicos sobre el cifrado. Para que no los transfiera incorrectamente, aquí están las explicaciones como una cita en inglés (fuente: consulte la página de Wordfence vinculada anteriormente):

"El proceso de cifrado utiliza la funcionalidad de mcrypt y el algoritmo de cifrado utilizado es Rijndael 128. La clave utilizada es un hash SHA-256 de la clave de cifrado proporcionada por el atacante. Una vez que los datos están encriptados, el IV utilizado para encriptar el archivo se antepone al texto cifrado y los datos se codifican en base64 antes de escribirlos en el archivo .EV encriptado".

Conclusión sobre EV Ransomware

El ransomware EV puede cifrar los archivos de los sitios web de WordPress. Los creadores exigen un rescate por el descifrado, pero el pago no tiene por qué conducir al descifrado (completo) de los datos. La protección con uno es mejor complemento correspondiente (que está actualizado a partir de agosto/septiembre de 2017), copias de seguridad periódicas no almacenadas en el mismo servidor y precaución general.

Mis consejos y trucos sobre tecnología y Apple

¿Te gustó el artículo y te ayudaron las instrucciones del blog? Entonces sería feliz si usted el blog a través de una membresía constante apoyaría.

Escribe un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados con * markiert

En el Blog de Sir Apfelot encontrarás consejos, instrucciones y reseñas sobre productos de Apple como el iPhone, iPad, Apple Watch, AirPods, iMac, Mac Pro, Mac Mini y Mac Studio.

Especiales
Compras
  •  
  •