El sistema de gestión de contenidos WordPress populares está experimentando una nueva ola de ataques de piratas informáticos. Los expertos en seguridad descubrieron que los criminales están infectando a los servicios alojados con un virus llamado WordPress EV ransomware. Se cifra el contenido del sitio de una manera similar a las versiones de escritorio.
Virus WordPress amenaza la seguridad de instancias Online
El sistema de gestión de contenidos WordPress popular ha sido golpeado con otra amenaza a la seguridad. Los piratas informáticos se dirigen a sitios con un nuevo virus llamado “ransomware EV” que busca para cifrar los datos de una manera similar a las variantes de escritorio.
La nueva amenaza está siendo rastreado por los expertos en seguridad que han descubierto varios sitios víctima. Durante el seguimiento de varios sitios web, el equipo fue capaz de capturar muestras del virus. Los criminales detrás del ataque utilizan los intentos de intrusión automatizadas para acceder al sitio. Una vez que han sido capaces de poner en peligro el inicio de sesión pide al ransomware EV está cargado en el servidor.
Una vez hecho esto se observa el siguiente patrón de infección:
- ransomware EV se infiltra en el sistema de destino y se descarga en la carpeta del servidor web.
- El virus genera una página especial que los criminales pueden tener acceso a la creación de la instancia víctima. Proporciona una interfaz de usuario donde se puede configurar la clave de codificación / decodificación y enviarlo para su procesamiento.
- El proceso de cifrado se inicia.
Al igual que el escritorio equivalentes utiliza el motor de cifrado incorporado en la lista de archivos que en este caso cuenta con una lista de archivos que se han de omitir por el ransomware EV. El virus de WordPress no permite su procesamiento ya que efectivamente cerrado el sitio y que sea no laborable:
.php, .png, *404.php, ..htaccess, *.index.php, *DyzW4re.php, *index.php, *.htaDyzW4re, *.lol.php *
Los expertos descubrieron que cuando cada directorio de archivos son encriptados con éxito una notificación por correo electrónico se envía a “htaccess12@gmail.com”. Esta es una dirección pirata informático controlado que recoge datos de los huéspedes infectados. Contiene información relacionada con las máquinas comprometidas. Los correos electrónicos contienen datos sobre el nombre de host y la clave de cifrado utilizado especificado por los piratas informáticos. Todos los archivos afectados se eliminan y se crean otros nuevos con los mismos nombres que lleva el .extensión EV. Ellos son encriptados usando la clave de hackers suministrado. El proceso de cifrado utiliza una función de la biblioteca mcrypt utilizando el Rijndael 128 algoritmo. La clave utiliza un hash SHA-256 tomada de la clave de cifrado privada.
Más detalles técnicos sobre el motor Virus WordPress
Durante el proceso de cifrado del ransomware EV artesanía dos archivos en la carpeta de instalación:
- Ev.php - Esta es la interfaz de usuario que permite a los usuarios para introducir la clave de descifrado suministrada por los hackers. Esto es un estafa como el motor de descifrado no funciona. Las víctimas no deben ponerse en contacto con los piratas informáticos o pagar la cuota ransomware en cualquier caso.
- ..htaccess - Se utiliza para redirigir todas las consultas en el archivo EV.php que muestra la nota ransomware EV.
Los usuarios se les muestra un texto en verde sobre un fondo negro que muestra una imagen de arte ASCII con. el nombre del administrador se muestra con la suma del rescate solicitado 0.2 Bitcoins. De acuerdo con la tasa de conversión de moneda actual esto es el equivalente de unos 972 Dólar estadounidense. Hasta ahora, sólo un solo ataque ha sido visto. Los delincuentes lanzaron una campaña de ataque el 7 de julio, El incidente descrito condujo a la investigación que identificó la amenaza. En Agosto 11 la regla de cortafuegos se hizo público para todo el mundo para incluir en sus ajustes.
De acuerdo con la investigación de una variante antes del código de software malicioso apareció el año pasado en mayo. Los desarrolladores detrás de él se conocen como Bug7sec equipo operativo de Indonesia. Su página de Facebook los describe como una “consultor de negocios” agencia.
Según los investigadores, se espera que las futuras versiones y ransomware totalmente funcional van a ser lanzado en el futuro por los mismos grupos colectivos o de otro.
Para defenderse eficazmente contra los ataques de intrusión se recomienda el uso de una herramienta de calidad anti-spyware. Es capaz de defenderse contra todo tipo de malware de la computadora y efectivamente eliminar las infecciones encontradas con unos pocos clics del ratón.
Escáner Spy Hunter sólo detectará la amenaza. Si desea que la amenaza se elimine de forma automática, usted necesita comprar la versión completa de la herramienta anti-malware.Obtenga más información sobre la herramienta de SpyHunter Anti-Malware / Cómo desinstalar SpyHunter
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: