Le système de gestion de contenu WordPress populaire connaît une nouvelle vague d'attaques de pirates. Les experts en sécurité ont découvert que les criminels infectent les services hébergés par un virus appelé WordPress EV ransomware. Il encrypte le contenu du site d'une manière similaire aux versions de bureau.
Virus WordPress menace la sécurité des instances en ligne
Le système de gestion de contenu WordPress populaire a été frappé avec une autre menace pour la sécurité. Les pirates informatiques ciblent les sites avec un nouveau virus appelé “EV ransomware” qui cherche à chiffrer les données d'une manière similaire à des variantes de bureau.
La nouvelle menace est suivi par des experts de sécurité qui ont découvert plusieurs sites aux victimes. Au cours de la surveillance de plusieurs sites de l'équipe ont pu prélever des échantillons du virus. Les criminels derrière l'attaque utilisés tentatives d'intrusion automatisées pour vous connecter sur le site. Une fois qu'ils ont été en mesure de compromettre la connexion demande à l'EV ransomware est téléchargé sur le serveur.
Une fois cela fait le modèle d'après l'infection est observée:
- EV ransomware infiltrats le système cible et est téléchargé sur le dossier du serveur Web.
- Le virus génère une page spéciale que les criminels peuvent accéder à mettre en place l'instance de victime. Il fournit une interface utilisateur qui peut configurer l'encodage / décodage clé et de le soumettre pour le traitement.
- Le processus de cryptage est lancée.
Comme le bureau équivalents moteur de chiffrement utilise une liste de fichiers intégré qui, dans ce cas comporte une liste des fichiers qui doivent être sautées par l'EV ransomware. Le virus WordPress leur traitement interdit car ils fermeront efficacement le site et le rendre non-travail:
.php, .png, *404.php, ..htaccess, *.index.php, *DyzW4re.php, *index.php, *.htaDyzW4re, *.lol.php *
Les experts ont découvert que lorsque chaque répertoire de fichiers est crypté avec succès un e-mail de notification est envoyée à “htaccess12@gmail.com”. Ceci est une adresse contrôlée hacker qui recueille des données à partir des hôtes infectés. Il contient des informations relatives aux machines compromises. Les e-mails contiennent des données sur le nom d'hôte et la clé de chiffrement utilisé spécifié par les pirates. Tous les fichiers concernés sont supprimés et de nouveaux sont créés avec le même nom portant le .l'extension EV. Ils sont cryptés à l'aide de la clé fournie pirate informatique. Le processus de chiffrement utilise une fonction de la bibliothèque de mcrypt utilisant le Rijndael 128 algorithme. La clé elle-même utilise un hachage SHA-256 prises à partir de la clé de chiffrement privée.
D'autres détails techniques sur le moteur de virus WordPress
Au cours du processus de chiffrement de l'artisanat EV ransomware deux fichiers dans le dossier d'installation:
- ev.php - Ceci est l'interface utilisateur qui permet aux utilisateurs d'entrer la clé de déchiffrement fournie par les pirates. C'est un arnaque comme le moteur de déchiffrement ne fonctionne pas. Les victimes ne doivent pas communiquer avec les pirates ou payer les frais ransomware en tout cas.
- ..htaccess - Il est utilisé pour rediriger toutes les requêtes vers le fichier ev.php qui affiche la note EV ransomware.
Les utilisateurs sont présentés un texte en vert sur fond noir montrant une image ASCII art. Le nom de l'administrateur est affiché avec la somme de la rançon demandée 0.2 Bitcoins. Selon le taux actuel de conversion de devises c'est l'équivalent d'environ 972 USD. Jusqu'à présent, une seule attaque a été repéré. Les criminels ont lancé une campagne d'attaque le 7 Juillet, l'incident signalé a conduit à l'enquête qui a identifié la menace. En août 11 la règle de pare-feu a été rendu public pour tout le monde à inclure dans leurs paramètres.
Selon la recherche une variante préalable du code malveillant est apparu l'année dernière en mai. Les développeurs derrière elle sont connus sous le nom Bug7sec équipe exploitation de l'Indonésie. Leur page Facebook les décrit comme “consultant en affaires” agence.
Selon les chercheurs, il est prévu que les futures versions et ransomware entièrement fonctionnels vont être libérés dans l'avenir par les mêmes groupes collectifs ou d'autres.
Pour vous défendre efficacement contre les attaques d'intrusion, nous vous recommandons l'utilisation d'un outil anti-spyware qualité. Il est capable de se défendre contre toutes sortes de logiciels malveillants informatiques et efficacement supprimer les infections trouvées en quelques clics de souris.
Spy Hunter scanner ne détecte que la menace. Si vous voulez que la menace d'être retiré automatiquement, vous devez acheter la version complète de l'outil anti-malware.En savoir plus sur l'outil SpyHunter Anti-Malware / Comment désinstaller SpyHunter