You are here: Home » WordPress » Ransomware který cíli na WordPress

Ransomware který cíli na WordPress

WordFence vydal včera varování, že se objevil nový druh ransomware, který cílí na WordPress instalace. Při analyzování podezřelého provozu narazili na pokusy útočníku nahrát malware, který má schopnost šifrovat soubory.

V krátkosti o ransomware

Ransomware je druh malware, který po úspěšném nasazení do systému začne šifrovat disk anebo vybrané potenciálně důležité soubory. Jakmile vše dokončí tak požaduje výkupné v měně bitcoin za dešifrovací klíč. Většinou je „nabídka“ časově omezená, aby oběť začala panikařit.

Ransomware je momentálně nejvýnosnější nelegální činnost spojená s napadením počítačů. Množství ransomware v posledních letech neustále roste. Cílem nejsou jen běžní uživatelé ale i firmy a státní instituce. Množství lidí, kteří za dešifrování souborů zaplatí jsou v jednotkách procent, což se útočníkům vyplatí.

Přeštěte si   Potřebuji pro WordPress SEO pluginy?

Občas se bezpečnostním expertům podaří získat z malware univarzální klíč k dešifrování souborů anebo zabaví server s klíčky. Ve většině případů je však jedinou záchranou nahrát zálohu.

Ransomware pro webové stránky je novinka

Doposud se problém ransomware týkal převážně osobních počítačů a občas i serverů. Útok na webovou stránku je novinka. Nový ransomware byl pojmenován EV ransomware.

Poté co se malware dostane přes nějakou slabinu do instalace, začně se šifrováním obsahu adresářů. Vyhýbá se souborům .php, .htaccess a .png. Tyto soubory se dají snadno nahradit, protože jsou součástí instalačních balíčků.

Pokaždé když se mu podaří zašifrovat nějaký adresář, tak pošle útočníkům email. Ten obshahuje host name a klíč použitý k zašifrování. Následně jsou všechny soubory smazány a nahrazeny zašifrovaným s koncovkou .ev. K šifrování je použita mcrypt s algoritmem Rijndael 128.

Jakmile začne šifrování je vytvořen soubor EV.php, který obsahuje rozhraní pro dešifrování souborů. Dále je vytvořen/přepsán .htaccess. Ten má za úkol pouze přesměrovat všechen provoz na EV.php.

Přeštěte si   WordPress - Nepodařilo se navázat spojení s databází

Podle bezpečnostního týmu WordFence však nelze přes EV.php soubory dešifrovat. Jediným účelem je tedy uživatele donutit zaplatit. I pokud byste správný klíč získali, musel by soubory dešifrovat zkušený PHP vývojář.

Závěr

Ve WordFence předpovídají že se jedná teprve o začátek. Současná vereze nefunguje jak by měla, což se však změní. Budoucí verze EV ransomware anebo jeho alternativy budou umět šifrovat i data v databázi. Pokud útočníci zjistí, že se tento druh útoku vyplatí, tak je otázkou měsíců, než k nim začne hromadně docházet.

Podle odborníku z WordFence, je záloha v tomto případě poslední obrannou linií. Důležité je aktivně se umět bránit. Nabízí tedy svůj firewall jako další stupeň ochrany. Podobnou ochranu nabízí i Cloudflare (WAF). U nás podobnou ochranu (IPS/IDS) nabízí společnost Wedos k webhostingům zdarma. Také dokáže odchytit zneužité bezpečnostních děr a podezřelý provoz.

Share Button

Programuju v PHP už několik let spíše pro zábavu. Baví mě WordPress, protože tak lenivým lidem jako jsem já ušetří spoustu času. A rád sbírám reklamní flash disky. Tento blog používám pro utřídění myšlenek.

http://n-host.cz

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *