Wordfence rileva attacchi Ransomeware a siti WordPress

wordpress ransomware

Il sistema di sicurezza di WordPress, Wordfence ha riconosciuto diversi tentativi di attacco, con l’obiettivo di caricare ransomware che fornisce la possibilità di crittografare i file di un sito o di un server.

Gli esperti Wordfence hanno additato il malware “EV ransomware”, a causa dell’estensione .ev che viene aggiunta ai file crittografati.

wordpress ransomware

Cose è un Ransomeware

Ransomware è un tipo di software dannoso proveniente dal campo della criptovirologia (Campo che studia come utilizzare la crittografia per progettare potenti software dannosi) che minaccia di pubblicare i dati della vittima o bloccare perpetuamente l’accesso a meno che non sia pagato un riscatto. Mentre alcuni ransomware semplici possono bloccare un sistema in un modo che non sia difficile per una persona esperta decriptarli, un malware più avanzato utilizza una tecnica chiamata cryptoviral extortion, in cui crittografa i file della vittima, rendendoli inaccessibili e richiede un pagamento di riscatto per decriptarli.

leggi la guida su come eliminare un malware

Informazioni su ransomware EV

Il ransomware viene caricato una volta che l’attaccante riesce a compromettere un sito di WordPress. L’attaccante avvia il processo di crittografia da un’interfaccia, dopo aver scelto una chiave complessa e premendo il pulsante “Invio”.

Il ransomware di EV, crittografa la maggior parte dei file ma ne lascia anche alcuni non crittografati.

Ecco cosa ha detto il portavoce del Wordfence team “Il processo di crittografia utilizza la funzionalità di mcrypt e l’algoritmo di crittografia utilizzato è Rijndael 128. La chiave utilizzata è un hash SHA-256 della chiave di crittografia fornita dall’attaccante” .

“Una volta che i dati vengono crittografati, il codice IV utilizzato per crittografare il file è preceduto dal ciphertext e i dati sono codificati in base64 prima che siano scritti nel file .EV crittografato”.

 

Un’altra cosa importante da sapere per le vittime è che anche se pagano il riscatto e ricevono la chiave di decodifica, la decrittografia dei file non sarà un processo semplice.

“Questo ransomware fornisce ad un hacker la possibilità di crittografare i file, ma in realtà non fornisce un meccanismo di decrittografia”, avverte il team.”

Se siete stati colpiti da ransomware, non pagate il riscatto, in quanto è improbabile che l’attaccante decodifichi effettivamente i vostri file per voi. Se vi forniranno una chiave, avrete bisogno di un esperto sviluppatore PHP per aiutarvi a risolvere il codice rotto oltre che per utilizzare la chiave e invertire la crittografia “.

 

(Ecco un servizio di Rimozione Malware WordPress)

 

Suggerimenti per la protezione

L’azienda ha rilasciato una protezione contro i ransomware EV per i propri utenti. Tutti gli altri possono ridurre al minimo il pericolo mantenendo aggiornate le proprie installazioni, assicurando al meglio i loro conti e facendo backup sicuri – e tenere tutti questi dati fuori dal server web se non vogliono vederli anche crittografati.

Secondo i ricercatori, varianti del ransomware sono state trovate pubblicate su GitHub e alcune di loro risalgono al maggio 2016. Il contenuto del codice sorgente e il nome del proprietario dell’account GitHub indicano che il ransomware è il lavoro di Un gruppo indonesiano.

Hanno notato che il ransomware è incompleto, ma può essere utilizzato ancora per estorcere denaro.

“Finora vediamo solo tentativi di inserire questo ransomeware su siti web WordPress. Ci aspettiamo che questo però evolva nei prossimi mesi in un ransomware completamente funzionale che si rivolga sia ai file che al database di WordPress. Ci aspettiamo anche di iniziare a vedere incidenti di estorsione “, hanno concluso i ricercatori.

Fonte (Blog Wordfence)