De populaire WordPress content management systeem is het ervaren van een nieuwe golf van aanvallen van hackers. Security experts ontdekten dat criminelen infecteren hosted services met een WordPress-virus genaamd EV ransomware. Het versleutelt de inhoud van de site op een manier die vergelijkbaar is met desktop-versies.
WordPress Virus bedreigt veiligheid van online Instances
De populaire WordPress content management systeem is geraakt met een andere bedreiging voor de veiligheid. Computer hackers zijn gericht op sites met een nieuw virus genaamd “EV ransomware” die tot doel heeft om de gegevens op een manier die vergelijkbaar is met desktop-varianten coderen.
De nieuwe dreiging wordt gevolgd door security experts dat een aantal slachtoffer sites hebben ontdekt. Tijdens de controle van de verschillende websites waren het team in staat om monsters van het virus vast te leggen. De criminelen achter de aanslag gebruikte geautomatiseerde inbraakpogingen te loggen op de website. Zodra ze in staat om de login compromis zijn geweest vraagt de EV ransomware wordt geüpload naar de server.
Zodra dit is gebeurd de volgende infectie patroon wordt waargenomen:
- EV ransomware infiltreert op het doelsysteem en wordt gedownload naar de map van de webserver.
- Het virus genereert een speciale pagina die de criminelen kan de toegang tot het opzetten van het slachtoffer instantie. Het biedt een gebruiksvriendelijke interface waar zij de codering / decodering sleutel kunt configureren en legt dit voor verwerking.
- Het coderingsproces wordt gestart.
Net als de desktop equivalenten de encryptie-engine maakt gebruik van een ingebouwde file lijst die in dit geval is voorzien van een lijst met bestanden die moeten worden overgeslagen door de EV ransomware. De WordPress virus verbiedt de verwerking ervan als ze daadwerkelijk zullen afsluiten van de site en maken het niet-werkende:
.php, .png, *404.php, ..htaccess, *.index.php, *DyzW4re.php, *index.php, *.htaDyzW4re, *.lol.php *
De deskundigen ontdekt dat wanneer elke map met bestanden met succes is gecodeerd een notificatie e-mail wordt verstuurd “htaccess12@gmail.com”. Dit is een hacker gecontroleerde mailadres dat gegevens verzamelt van de geïnfecteerde gastheren. Het bevat informatie met betrekking tot de gecompromitteerde machines. De e-mails bevatten gegevens over de hostnaam en de encryptiesleutel gebruikt die door de hackers. Alle aangetaste bestanden worden verwijderd en nieuwe worden gemaakt met dezelfde naam dragen van de .EV-extensie. Ze worden versleuteld met behulp van de hacker meegeleverde sleutel. De Encryption proces maakt gebruik van een functie van de mcrypt bibliotheek met behulp van het Rijndael 128 algoritme. De sleutel zelf maakt gebruik van een SHA-256 hash uit de privé-encryptiesleutel.
Verdere technische details over de WordPress Virus Engine
Tijdens het coderingsproces de EV ransomware ambachten twee bestanden in de installatiemap:
- Ev.php - Dit is de gebruikersinterface waarmee de gebruiker mogelijk maakt het invoeren van de ontsleutelingssleutel door hackers geleverd. Dit is een scam als de decryptie motor werkt niet. De slachtoffers moeten niet contact op met de hackers of betalen de ransomware vergoeding in ieder geval.
- ..htaccess - Het wordt gebruikt om alle vragen aan de EV.php bestand dat de EV ransomware notitie geeft omleiden.
De gebruikers worden getoond van een groene tekst op een zwarte achtergrond die het een ASCII-kunst met. De naam van de beheerder wordt weergegeven met het gevraagde losgeld som van 0.2 Bitcoins. Volgens de huidige valutawisselkoers is dit het equivalent van ongeveer 972 USD. Tot nu toe slechts een enkele aanval is gespot. De criminelen lanceerde een aanval campagne op 7 juli, de gerapporteerde incident leidde tot het onderzoek dat de dreiging geïdentificeerd. In augustus 11 de firewall regel werd openbaar gemaakt voor iedereen om in hun instellingen omvatten.
Volgens het onderzoek een eerdere variant van de malware code verschenen vorig jaar in mei. De ontwikkelaars achter staan bekend als Bug7sec Team opererend vanuit Indonesië. Hun Facebook-pagina beschrijft ze als een “bedrijfsadviseur” agentschap.
Volgens de onderzoekers wordt verwacht dat toekomstige versies en volledig functionele ransomware zullen in de toekomst worden vrijgegeven onder dezelfde collectieve of andere groepen.
Om effectief jezelf verdedigen tegen aanvallen van hackers raden we het gebruik van een kwaliteit anti-spyware tool. Het is in staat te verdedigen tegen allerlei computer malware en effectief te verwijderen gevonden infecties met een paar muisklikken.
Spy Hunter scanner zal alleen de bedreiging op te sporen. Als u wilt dat de bedreiging voor automatisch verwijderd, je nodig hebt om de volledige versie van de anti-malware gereedschap kopen.Ontdek meer over SpyHunter Anti-Malware Tool / Hoe te verwijderen SpyHunter
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: