Das beliebte Wordpress Content Management System ist eine neue Welle von Hacker-Attacken erleben. Sicherheitsexperten entdeckt, dass Kriminelle mit einem Wordpress-Virus gehostete Dienste infizieren genannt EV Ransomware. Es verschlüsselt die Inhalte der Seite in ähnlicher Weise, wie Desktop-Versionen.
Wordpress-Virus Droht Sicherheit von Online-Instanzen
Das beliebte Wordpress Content Management System mit einer anderen Bedrohung für die Sicherheit getroffen worden. Computer-Hacker sind Targeting Websites mit einem neuen Virus namens “EV Ransomware” dass versucht, die Daten in einer Art und Weise ähnlich wie Desktop-Varianten zu verschlüsseln.
Die neue Bedrohung wird von Sicherheitsexperten verfolgt, die mehrere Opfer Websites entdeckt. Während der Überwachung mehrerer Websites konnte das Team das Virus einzufangen Proben. Die Kriminellen hinter dem Angriff verwendet automatische Einbruchsversuche auf der Website einzuloggen. Sobald sie die Anmeldung kompromittieren konnten fordert der EV Ransomware auf den Server hochgeladen.
Sobald dies die folgende Infektion Muster durchgeführt wird beobachtet:
- EV Ransomware infiltriert auf dem Zielsystem und auf den Webserver des Ordner heruntergeladen.
- Das Virus erzeugt eine spezielle Seite, dass die Kriminellen das Opfer Instanz einzurichten zugreifen können. Es bietet eine Benutzeroberfläche, wo sie die Kodierungs- / Dekodierungsschlüssel konfigurieren und legt ihn für die Verarbeitung.
- Der Verschlüsselungsprozess wird eingeleitet.
Wie die Desktop verwendet die Verschlüsselungsengine Äquivalente eine integrierte Dateiliste, die eine Liste von Dateien in diesem Fall kennzeichnet, die durch die EV Ransomware übersprungen werden sollen. Der Wordpress-Virus nicht zulässt, ihre Verarbeitung, wie sie effektiv die Seite geschlossen werden nach unten und es nicht arbeit machen:
.php, .png, *404.php, ..htaccess, *.index.php, *DyzW4re.php, *index.php, *.htaDyzW4re, *.lol.php *
Die Experten festgestellt, dass, wenn jedes Verzeichnis der Dateien erfolgreich eine Benachrichtigung E-Mail verschlüsselt wird gesendet “htaccess12@gmail.com”. Dies ist ein Hacker-gesteuerte Adresse, die Daten aus den infizierten Rechner sammelt. Es enthält Informationen zu den kompromittierten Maschinen durch. Die E-Mails enthalten Daten über den Host-Namen und den verwendeten Verschlüsselungsschlüssel von den Hackern angegeben. Alle betroffenen Dateien werden gelöscht und neu erstellt werden mit gleichem Namen der Lager .EV-Erweiterung. Sie sind verschlüsselt, um die Hacker-supplied Schlüssel. Der Verschlüsselungsprozess verwendet eine Funktion der mcrypt Bibliothek der Rijndael mit 128 Algorithmus. Der Schlüssel selbst verwendet einen SHA-256 Hash aus dem privaten Verschlüsselungsschlüssel genommen.
Weitere technische Details über den Wordpress-Virus Engine
Während des Verschlüsselungsprozesses Handwerk der EV Ransomware zwei Dateien im Installationsordner:
- Ev.php - Dies ist die Benutzerschnittstelle, die den Benutzer zur Eingabe ermöglicht den Entschlüsselungsschlüssel von den Hackern gelieferten. Das ist ein Betrug wie die Entschlüsselungsmaschine funktioniert nicht. Die Opfer sollen nicht den Hacker oder an die Ransomware Gebühr in jedem Fall zahlen.
- ..htaccess - Es wird verwendet, um alle Anfragen an die EV.php Datei zu umleiten, die die Notiz EV Ransomware zeigt.
Die Benutzer werden mit einem grünen Text auf einem schwarzen Hintergrund zeigte mit einem ASCII-Art-Bild gezeigt. Der Name des Administrators mit der angeforderten Lösegeld Summe angezeigt von 0.2 Bitcoins. Nach dem aktuellen Umrechnungskurs Währung ist dies das Äquivalent von etwa 972 USD. Bisher ist nur ein einziger Angriff wurde gesichtet. Die Kriminellen einen Angriff Kampagne am 7. Juli, der gemeldete Vorfall auf die Untersuchung geführt, dass die Bedrohung identifiziert. Im August 11 die Firewall-Regel öffentlich gemacht wurde für jeden in ihren Einstellungen schließen.
Laut der Forschung eine vorherige Variante der Malware-Code erschienen im Mai letzten Jahres. Die Entwickler dahinter sind bekannt als Bug7sec-Team Betrieb von Indonesien. Ihre Facebook-Seite beschreibt sie als eine “Unternehmensberater” Agentur.
Nach Angaben der Forscher wird erwartet, dass zukünftige Versionen und voll funktionsfähige Ransomware werden von den gleichen kollektiven oder anderen Gruppen in Zukunft veröffentlicht werden.
Um effektiv zu verteidigen Sie sich gegen das Eindringen Angriffe empfehlen wir die Verwendung eines hochwertigen Anti-Spyware-Tool. Es ist in der Lage gegen alle Arten von Computer-Malware zu verteidigen und effektiv gefunden Infektionen mit wenigen Mausklicks löschen.
Spy Hunter Scanner nur die Bedrohung erkennen. Wenn Sie wollen, dass die Bedrohung automatisch entfernt wird, Müssen sie die vollversion des anti-malware tools kaufen.Erfahren Sie mehr über SpyHunter Anti-Malware-Tool / Wie SpyHunter Deinstallieren
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: