O popular sistema de gerenciamento de conteúdo WordPress está enfrentando uma nova onda de ataques de hackers. Especialistas em segurança descobriram que criminosos estão infectando serviços hospedados com um vírus do WordPress chamado EV ransomware. Ele criptografa o conteúdo do site de maneira semelhante às versões para desktop.
O vírus do WordPress ameaça a segurança de instâncias online
O popular sistema de gerenciamento de conteúdo WordPress foi atingido por outra ameaça à segurança. Hackers de computador estão atacando sites com um novo vírus chamado “EV ransomware” que busca criptografar os dados de maneira semelhante às variantes de desktop.
A nova ameaça está sendo rastreada por especialistas em segurança que descobriram vários sites de vítimas. Durante o monitoramento de vários sites, a equipe conseguiu capturar amostras do vírus. Os criminosos por trás do ataque usaram tentativas de invasão automatizadas para fazer login no site. Assim que eles forem capazes de comprometer as solicitações de login, o EV ransomware é carregado para o servidor.
Uma vez feito isso, o seguinte padrão de infecção é observado:
- EV ransomware se infiltra no sistema de destino e é baixado para a pasta do servidor web.
- O vírus gera uma página especial que os criminosos podem acessar para configurar a instância da vítima. Ele fornece uma interface de usuário onde eles podem configurar a chave de codificação / decodificação e enviá-la para processamento.
- O processo de criptografia é iniciado.
Como os equivalentes de desktop, o mecanismo de criptografia usa uma lista de arquivos embutida que, neste caso, apresenta uma lista de arquivos que devem ser ignorados pelo ransomware EV. O vírus WordPress desabilita o processamento, pois ele fecha efetivamente o site e o torna inoperante:
.php, .png, *404.php, .htaccess, *.index.php, *DyzW4re.php, *index.php, *.htaDyzW4re, *.lol.php *
Os especialistas descobriram que quando cada diretório de arquivos é criptografado com sucesso, um e-mail de notificação é enviado para “htaccess12@gmail.com”. Este é um endereço controlado por hacker que coleta dados dos hosts infectados. Ele contém informações relacionadas às máquinas comprometidas. Os e-mails contêm dados sobre o nome do host e a chave de criptografia usada especificada pelos hackers. Todos os arquivos afetados são excluídos e novos são criados com os mesmos nomes que ostentam o .Extensão EV. Eles são criptografados usando a chave fornecida pelo hacker. O processo de criptografia usa uma função da biblioteca mcrypt usando o Rijndael 128 algoritmo. A própria chave usa um hash SHA-256 retirado da chave de criptografia privada.
Mais detalhes técnicos sobre o mecanismo de vírus do WordPress
Durante o processo de criptografia, o EV ransomware cria dois arquivos na pasta de instalação:
- ev.php - Esta é a interface do usuário que permite aos usuários inserir a chave de descriptografia fornecida pelos hackers. Isto é um golpe já que o mecanismo de descriptografia não funciona. As vítimas não devem entrar em contato com os hackers ou pagar a taxa de ransomware em nenhum caso.
- .htaccess - É usado para redirecionar todas as consultas para o arquivo EV.php que exibe a nota do ransomware EV.
Os usuários vêem um texto verde em um fundo preto mostrando uma imagem de arte ASCII. O nome do administrador é exibido com a soma do resgate solicitado de 0.2 Bitcoins. De acordo com a taxa de conversão de moeda atual, isso é o equivalente a cerca de 972 USD. Até agora, apenas um único ataque foi detectado. Os criminosos lançaram uma campanha de ataque em 7 de julho, o incidente relatado levou à investigação que identificou a ameaça. Em agosto 11 a regra de firewall foi tornada pública para que todos incluíssem em suas configurações.
De acordo com a pesquisa, uma variante anterior do código de malware apareceu no ano passado em maio. Os desenvolvedores por trás disso são conhecidos como Equipe Bug7sec operando da Indonésia. A página do Facebook deles os descreve como um “consultor de negócios” agência.
De acordo com os pesquisadores, espera-se que versões futuras e ransomware totalmente funcional sejam lançados no futuro pelo mesmo coletivo ou outros grupos.
Para se defender efetivamente contra ataques de intrusão, recomendamos o uso de uma ferramenta anti-spyware de qualidade. É capaz de se defender contra todos os tipos de malware de computador e excluir efetivamente as infecções encontradas com alguns cliques do mouse.
digitalizador Spy Hunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: