Il sistema di gestione dei contenuti WordPress popolare sta vivendo una nuova ondata di attacchi degli hacker. Gli esperti di sicurezza hanno scoperto che i criminali stanno infettando servizi in hosting con un virus chiamato WordPress EV ransomware. Crittografa il contenuto del sito in modo simile a versioni desktop.
Virus WordPress minaccia la sicurezza di istanze in linea
Il sistema di gestione dei contenuti WordPress popolare è stata colpita con un'altra minaccia alla sicurezza. Gli hacker stanno prendendo di mira i siti con un nuovo virus chiamato “EV ransomware” che cerca di crittografare i dati in un modo simile alle varianti del desktop.
La nuova minaccia viene monitorata dagli esperti di sicurezza che hanno scoperto numerosi siti vittima. Durante il monitoraggio di diversi siti web del team sono stati in grado di catturare campioni del virus. I criminali dietro l'attacco utilizzati i tentativi di intrusione automatici per accedere al sito. Una volta che sono stati in grado di compromettere l'accesso richiede il ransomware EV è caricato sul server.
Una volta fatto questo si osserva il seguente schema di infezione:
- EV ransomware si infiltra nel sistema di destinazione e viene scaricato nella cartella del server web.
- Il virus genera una pagina speciale che i criminali possono accedere per configurare l'istanza di vittime. Fornisce un'interfaccia utente in cui possono configurare la chiave di codifica / decodifica e la sottopone per l'elaborazione.
- Viene avviato il processo di crittografia.
Come il desktop equivalenti del motore di crittografia utilizza un built-in lista di file che in questo caso presenta un elenco di file che devono essere saltati dalla ransomware EV. Il virus WordPress non consente il loro trattamento in quanto saranno effettivamente chiudere il sito e renderlo non funzionante:
.php, .png, *404.php, ..htaccess, *.index.php, *DyzW4re.php, *index.php, *.htaDyzW4re, *.lol.php *
Gli esperti hanno scoperto che, quando ogni directory del file è crittografato con successo un'email di notifica viene inviata a “htaccess12@gmail.com”. Si tratta di un indirizzo di hacker controllato che raccoglie i dati dagli host infettati. Esso contiene le informazioni relative alle macchine compromesse. Le email contengono i dati relativi al nome host e la chiave di crittografia utilizzata specificato dagli hacker. Tutti i file interessati vengono cancellati e quelli nuovi vengono creati con gli stessi nomi che porta il .estensione EV. Essi sono criptati utilizzando la chiave in dotazione hacker. Il processo di crittografia utilizza una funzione della libreria mcrypt utilizzando il Rijndael 128 algoritmo. La chiave stessa utilizza un hash SHA-256 preso dalla chiave di crittografia privata.
Ulteriori dettagli tecnici sul virus motore di WordPress
Durante il processo di crittografia del ransomware EV artigianato due file nella cartella di installazione:
- Ev.php - Questa è l'interfaccia utente che consente agli utenti di inserire la chiave di decrittazione forniti dagli stessi hacker. Questo è un truffa come il motore di decrittazione non funziona. Le vittime non devono contattare gli hacker o pagare la tassa ransomware in ogni caso.
- ..htaccess - E 'utilizzato per reindirizzare tutte le query al file EV.php che mostra l'EV ransomware nota.
Gli utenti sono mostrati un testo verde su sfondo nero che mostra con un'immagine ASCII art. Il nome dell'amministratore viene visualizzata con la somma di riscatto richiesto di 0.2 Bitcoins. Secondo il tasso di conversione di valuta corrente questo è l'equivalente di circa 972 Dollaro statunitense. Finora solo un singolo attacco è stato avvistato. I criminali hanno lanciato una campagna di attacco il 7 luglio, l'incidente ha riferito ha portato alla ricerca che ha identificato la minaccia. In agosto 11 la regola firewall è stato reso pubblico per tutti da includere nel loro impostazioni.
Secondo la ricerca una variante precedente del codice malware apparso lo scorso anno a maggio. Gli sviluppatori dietro di esso sono noti come Bug7sec squadra attivo dal Indonesia. La loro pagina di Facebook li descrive come un “consulente d'affari” agenzia.
Secondo i ricercatori si prevede che le future versioni e ransomware completamente funzionale stanno per essere rilasciati in futuro dagli stessi gruppi collettivi o di altri.
Per difendersi in modo efficace se stessi contro gli attacchi di intrusione si consiglia l'uso di uno strumento di qualità anti-spyware. E 'in grado di difendere contro tutti i tipi di malware computer ed efficacemente eliminare le infezioni trovati con pochi clic del mouse.
Spy Hunter scanner rileva solo la minaccia. Se si desidera che la minaccia da rimuovere automaticamente, è necessario acquistare la versione completa del tool anti-malware.Per saperne di più sullo strumento SpyHunter Anti-Malware / Come disinstallare SpyHunter
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: