WordPress Ransomware: złośliwe oprogramowanie szantażujące na stronach internetowych

Wordfence, twórcy Wtyczka bezpieczeństwa Wordfence WordPress, napotkał oprogramowanie ransomware WordPress w lipcu 2017 r., które Oprogramowanie ransomware EV jest nazywany. To ransomware WordPress atakuje strony internetowe i ich operatorów. Jakie spostrzeżenia Wordfence udało się do tej pory wydobyć na światło dzienne, jakie rozwiązania bezpieczeństwa są dostępne i więcej można dowiedzieć się tutaj.

„EV Ransomware” to nazwa oprogramowania ransomware WordPress wykrytego przez Wordfence i zawartego w bazie danych Wordfence WordPress Security Plugin, która szyfruje pliki na zaatakowanej stronie internetowej.
„EV Ransomware” to nazwa oprogramowania ransomware WordPress wykrytego przez Wordfence i dodanego do bazy danych Wordfence WordPress Security Plugin, które szyfruje pliki na zaatakowanej stronie internetowej.

Co to jest oprogramowanie ransomware?

Ransomware to złośliwe oprogramowanie, które szyfruje dane, pliki, a czasem całe dyski twarde na komputerze PC lub Mac. System jest wtedy blokowany, a użytkownik może go ponownie odblokować tylko za pomocą określonego hasła - często jest na to wyznaczony termin. W tym terminie użytkownik powinien przekazać okup nadawcy oprogramowania ransomware, zwykle w postaci bitcoinów. Po otrzymaniu wpłaty zostanie wysłane (miejmy nadzieję) hasło do udostępnienia danych i plików. Ransomware WordPress jest teraz atakiem szyfrującym na strony internetowe i ich operatorów.

Więcej o: MacRansom atakuje Mac / Kopia zapasowa danych w celu ochrony przed złośliwym oprogramowaniem

Ransomware WordPress: ataki teraz także na strony internetowe

WordPress to system wybierany przez wielu operatorów witryn do umieszczania w Internecie różnych treści, tekstów i mediów, takich jak obrazy, filmy i ścieżki audio. Ponadto WordPress oferuje dużą swobodę w zakresie własnego projektowania i administrowania za pomocą wtyczek. Niezależnie od tego, czy korzystasz z bezpłatnego, czy z pełną aplikacją z usługą hosta i wszystkimi dodatkami: za pośrednictwem oprogramowania ransomware WordPress są zwykle są to miliony stron internetowych w niebezpieczeństwie. Wordfence, twórcy Wtyczka bezpieczeństwa Wordfence WordPress, opublikowali w tym zakresie:

„Większość ransomware atakuje stacje robocze z systemem Windows. Jednak zespół Wordfence obecnie śledzi pojawiającą się odmianę oprogramowania ransomware, które atakuje witryny WordPress. Podczas naszej analizy złośliwego ruchu skierowanego do witryn WordPress byliśmy świadkami kilku prób wgrania oprogramowania ransomware, które umożliwiają atakującemu szyfrowanie plików witryny WordPress, a następnie wyłudzanie pieniędzy od właściciela witryny.” – Ci,

Interfejs szkodliwego oprogramowania, który może zostać wykorzystany do zaimplementowania kodu służącego do szyfrowania i deszyfrowania danych witryny. (Źródło: Wordfence.com)
Interfejs szkodliwego oprogramowania, który może zostać wykorzystany do zaimplementowania kodu służącego do szyfrowania i deszyfrowania danych witryny. (Źródło: Wordfence.com)

Ransomware EV – powód nazwy

Ransomware WordPress znaleziony przez Wordfence został nazwany Oprogramowanie ransomware EV ochrzczony. Wynikało to z zachowania w obsłudze plików zaatakowanych stron internetowych. Są one najpierw pakowane w zaszyfrowane archiwum, a następnie usuwane i zastępowane plikami o tej samej nazwie z rozszerzeniem .EV zastąpiony. Według Wordfence szyfrowanie/zmiana nie ma wpływu na następujące pliki/rozszerzenia:

  • . Php
  • . PNG
  • 404.php
  • .htaccess
  • .indeks.php
  • DyzW4re.php
  • index.php
  • .htaDyzW4re
  • .lol.php

Dodatkowo podczas szyfrowania danych na stronie tworzony jest EV.php, który pokazuje interfejs pokazany powyżej, w którym użytkownik może wprowadzić kod odszyfrowujący. Jednak według zespołu ds. bezpieczeństwa cybernetycznego Wordfence w rezultacie odszyfrowanie danych jest niepełne. Jeśli w ogóle to się stanie.

Nie płać okupu

Ponieważ jest mało prawdopodobne, że właściciele stron internetowych zostaną odszyfrowani i wysłani do nich w sposób umożliwiający ich bezpieczne ponowne użycie, Wordfence mówi, że powinni zapłacić żądany okup nie zapłacić.

W ten sposób możesz się chronić

WordPress nie jest dużym tematem, ale jest ważnym tematem na tym blogu. Dlatego uważam, że wśród was czytelników jest prawdopodobnie jeden lub drugi operator witryny. Dlatego chciałbym przekazać Ci wskazówki dotyczące ochrony Wordfence, abyś mógł mieć się na baczności przed złośliwym oprogramowaniem.

Przede wszystkim dostawca zabezpieczeń WordPress wskazuje na własną ofertę i korzyści z niej płynące Wordfence Wtyczka bezpieczeństwa WordPress tam. Złośliwe oprogramowanie zostało po raz pierwszy wykryte 7 lipca 2017 r.; 12 lipca 2017 r. zapora ogniowa oferty bezpieczeństwa została odpowiednio dostosowana. Ma to na celu powstrzymanie prób przesyłania oprogramowania do szyfrowania i szantażu. Ponadto skanowanie wtyczki wykrywa oprogramowanie ransomware podczas sprawdzania witryny. Od 11 sierpnia 2017 r. usługa ochrony jest dostępna Oprogramowanie ransomware EV dostępne również dla użytkowników darmowej wersji.

Kolejna wskazówka, jeśli chodzi o ochronę przed złośliwym oprogramowaniem, które może sparaliżować Twoją stronę główną, nie jest związana z ofertą Wordfence, ale dotyczy wszelkiego rodzaju trudności, jakie możesz napotkać ze swoimi danymi: tworzyć kopie zapasowe. Kopia zapasowa Twojej strony głównej, której nie przechowujesz na tym samym serwerze, ale lokalnie lub w chmurze, pomoże Ci przywrócić Twoją witrynę bez okupu i (być może nawet nie nastąpi) odszyfrowanie Twoich danych.

Kto jest odpowiedzialny?

Mówi się, że oprogramowanie ransomware po raz pierwszy pojawiło się jako kod na GitHub w maju 2016 roku. Druga generacja kodu i oprogramowania, które są obecnie używane, pojawiła się dopiero w 2017 roku. Co ciekawe: jako autor błąd7sek stwierdziła, grupa z Indonezji, która nazywa się Konsultantem Biznesowym na swojej stronie na Facebooku. Według Wordfence, w kodzie oprogramowania ransomware można znaleźć również słowa indonezyjskie.

Co więcej, film na YouTube, którego dźwięk można usłyszeć po załadowaniu ransomware, prowadzi do Indonezji, poprzez indonezyjski rap w dźwięku i tytule, który jest między innymi terminem ApriliGhost zawiera – on Twitter i Facebook jest to również reprezentowane jako źródło indonezyjskie. Co więcej, po załadowaniu ransomware automatycznie prowadzi po pewnym czasie do indonezyjskiego forum hakerów errorviolence.com. Ponadto adresy IP związane z oprogramowaniem ransomware były śledzone w Dżakarcie.

Szczegóły techniczne

Po zaszyfrowaniu lub po każdym utworzeniu katalogu, malware wysyła wiadomość e-mail na adres „htaccess12@gmail.com”. Informacje o hoście i użytym kluczu przesyłane są w wiadomości e-mail. Wordfence zwraca uwagę na kilka technicznych szczegółów dotyczących szyfrowania. Abym nie przekazywał ich błędnie, oto wyjaśnienia w formie cytatu w języku angielskim (źródło: patrz strona Wordfence, do której link znajduje się powyżej):

„Proces szyfrowania wykorzystuje funkcjonalność mcrypt, a używanym algorytmem szyfrowania jest Rijndael 128. Użyty klucz to skrót SHA-256 klucza szyfrowania dostarczonego przez atakującego. Po zaszyfrowaniu danych kod IV używany do zaszyfrowania pliku jest dodawany do zaszyfrowanego tekstu, a dane są kodowane w formacie base64, zanim zostaną zapisane w zaszyfrowanym pliku .EV”.

Wnioski dotyczące oprogramowania ransomware EV

Ransomware EV może szyfrować pliki witryn WordPress. Twórcy żądają okupu za odszyfrowanie, ale płatność nie musi prowadzić do (całkowitego) odszyfrowania danych. Ochrona z jednym jest lepsza odpowiednia wtyczka (który jest aktualny na sierpień/wrzesień 2017), regularne kopie zapasowe nie są przechowywane na tym samym serwerze i ogólna ostrożność.

Podobał Ci się artykuł i czy instrukcje na blogu Ci pomogły? Wtedy byłbym szczęśliwy, gdybyś bloga poprzez stałe członkostwo będzie wspierać.

Napisz komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone * oznakowane

Na blogu Sir Apfelot znajdziesz porady, instrukcje i recenzje produktów Apple, takich jak iPhone, iPad, Apple Watch, AirPods, iMac, Mac Pro, Mac Mini i Mac Studio.

Promocje