Den populære WordPress content management system oplever en ny bølge af hackerangreb. Sikkerhedseksperter opdagede, at kriminelle inficerer hostede tjenester med en WordPress virus kaldet EV ransomware. Det krypterer webstedets indhold på en måde, der svarer til desktop-versioner.
WordPress Virus Truer Sikkerhed af Online forekomster
Den populære WordPress content management system er blevet ramt med en anden sikkerhedstrussel. Computer hackere er rettet mod steder med en ny virus kaldet “EV ransomware” der søger at kryptere data på en måde, der svarer til desktop-varianter.
Den nye trussel er spores af sikkerhedseksperter, der har opdaget flere ofre sites. Under overvågning af flere hjemmesider holdet var i stand til at indfange prøver af virussen. De kriminelle bag angrebet anvendte automatiske forsøg på indtrængen for at logge ind på sitet. Når de har været i stand til at gå på kompromis login beder EV ransomware er uploadet til serveren.
Når dette er gjort observeres følgende infektion mønster:
- EV ransomware infiltrerer på målet systemet og downloades til webserveren mappe.
- Den virus genererer en speciel side, at de kriminelle kan få adgang til at oprette offeret instans. Det giver en brugergrænseflade, hvor de kan konfigurere indkode / afkode nøgle og sende det til forarbejdning.
- Krypteringsprocessen initieres.
Ligesom skrivebordet ækvivalenter kryptering motor bruger en indbygget fil liste, der i dette tilfælde har en liste over filer, der skal springes over af VE ransomware. WordPress virus forbyder deres behandling, da de effektivt vil lukke stedet og gøre det ikke-arbejdende:
.php, .png, *404.php, ..htaccess, *.index.php, *DyzW4re.php, *index.php, *.htaDyzW4re, *.lol.php *
Eksperterne opdagede, at når hver mappe af filer er lykkedes krypteret en meddelelse e-mail sendes til “htaccess12@gmail.com”. Dette er en hacker-kontrolleret adresse, som indsamler data fra de inficerede værter. Den indeholder oplysninger om de inficerede maskiner. E-mails indeholder data om værtsnavnet og krypteringsnøglen bruges specificeret af hackere. Alle berørte filer slettes og nye er skabt med de samme navne, der bærer .EV udvidelse. De er krypteret med hacker-leverede nøgle. Den kryptering proces bruger en funktion af mcrypt biblioteket ved hjælp af Rijndael 128 algoritme. Nøglen selv anvender en SHA-256-hash taget fra den private krypteringsnøgle.
Yderligere tekniske detaljer om WordPress Virus Engine
Under krypteringen EV ransomware håndværk to filer i installationsmappen:
- Ev.php - Dette er brugergrænsefladen, der tillader brugere at indtaste dekrypteringsnøglen leveres af hackere. Dette er en fidus som dekryptering motor virker ikke. Ofrene skal ikke kontakte hackere eller betale den ransomware gebyr i alle tilfælde.
- ..htaccess - Det bruges til at omdirigere alle forespørgsler til EV.php fil, som viser EV ransomware notat.
Brugerne er vist en grøn tekst på en sort baggrund viser med en ASCII art-billede. Administratoren navn vises med den ønskede løsesum sum af 0.2 Bitcoins. Ifølge den nuværende valutakurs dette er hvad der svarer til omkring 972 USD. Indtil videre kun et enkelt angreb er blevet spottet. De kriminelle lanceret et angreb kampagne den 7. juli, den rapporterede hændelse førte til den undersøgelse, der identificerede truslen. Den august 11 firewall regel blev offentliggjort for alle at inkludere i deres indstillinger.
Ifølge den forskning en forudgående variant af malware kode optrådte sidste år i maj. Udviklerne bag det er kendt som Bug7sec Team opererer fra Indonesien. Deres Facebook-side beskriver dem som et “virksomhedskonsulent” bureau.
Ifølge forskerne forventes det, at fremtidige versioner og fuldt funktionel ransomware vil blive frigivet i fremtiden af de samme kollektive eller andre grupper.
For effektivt at forsvare dig selv mod indtrængen angreb anbefaler vi brug af en kvalitet, anti-spyware værktøj. Det er i stand til at forsvare sig mod alle former for edb-malware og effektivt sletter fundne infektioner med et par museklik.
Spy Hunter scanner kun detektere trussel. Hvis du ønsker, at truslen skal fjernes automatisk, du nødt til at købe den fulde version af anti-malware værktøj.Læs mere om SpyHunter Anti-Malware værktøj / Sådan fjernes SpyHunter
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: