WordPress遭勒索軟體盯上  內容網站是否會成為下一個受害者?

最近Wordfence團隊發現有勒索軟體被用來對WordPress發動攻擊,該公司將之稱為EV勒索軟體。以下是安全研究人員對這隻勒索軟體的行為分析,以及防範這隻惡意程式的方法。

勒索軟體竟然盯上WordPress

大部份勒索軟體是以Windows電腦為目標。然而Wordfence研究人員發現一隻新的勒索軟體,竟然是瞄準WordPress。

研究團隊是在分析一隻攻擊WordPress的惡意流量時發現到有攻擊者數度上傳一隻能加密WordPress網站檔案的勒索軟體,並向站長勒贖。只要攻擊者一成功入侵WordPress就會上傳勒索軟體。它最開始的介面如下:

這個介面可提供加密與解密功能,等攻擊者選擇了一把複雜的鑰匙,將之輸入KEY ENC/DEC欄位,按下「送出」。

然後網站就被加密了,結果畫面如下:

但這隻勒索軟體並不會加密以下檔案:

*.php*
*.png*
*404.php*
*.htaccess*
*.lndex.php*
*DyzW4re.php*
*index.php*
*.htaDyzW4re*
*.lol.php*

針對它掌握的每個目錄,它會傳送一封郵件到 htacess12@gmail.com 告知收信人主機名稱及用於加密的密鑰。

所有受影響的檔案都會被刪除並被同名加密檔案取代,但後者會有.EV的副檔名,表示已被加密。

技術人員注意:加密過程必須用到mcrypt功能,它使用的加密演算法Rijndael128,而使用的解密金鑰是加密金鑰的SHA-256雜湊。一旦資料被加密,用以加密檔案的IV(初始向量)就會轉成密文,在被寫入加密.EV檔之前,這資料會以base64編碼。

解密並不完全  受害即為犧牲

加密過程開始後,這隻勒索軟體會在安裝目錄中新增2 個檔案。第一個是.EV.php,這個檔案包含一個介面,原本是讓使用者輸入金鑰解密。它是有個表格,但其實無法作用,因為根本沒有解密的邏輯。

第二個檔案是.htacess檔,會要呼叫導引到EV.php檔案。一旦你網站遭到加密,就會長以下這樣:

勒索軟體讓攻擊者可以加密你的檔案,但卻沒有可用的解密機制,但這點就足以讓攻擊者誘騙受害站長支付贖金。他們唯一目的是加密你的檔案,但他們其實供法幫你解密。

因此如果你中了這隻勒索軟體,千萬別付贖金,因此即使你付了錢,檔案也救不回來。如果他們給了一把解密金鑰,你還需要有功力高強的PHP開發人員來協助你修補破損的程式碼,這把金鑰才能用來解密。

罪魁禍首是何人?

這隻勒索軟體最早變種是去年5月出現在Github上。攻擊者現在正在使用的則是第2隻變種。Wordfence團隊是在上個月首度發現。

Github上的勒索軟體作者是bug7sec,它是一個印尼組織,它的臉書粉絲專頁顯示它提供的是「企業顧問服務」。

當你下載這隻勒索軟體時,它會載入一個YouTube影片,你看不到,但它會在你讀取勒索軟體使用者介面時背景播放印尼Rap音樂。另一個線索是它和errorviolence.com網站的關聯,這是印尼駭客論壇及資源網站,當你以瀏覽器開啟這隻勒索軟體許久後,它就會將你導到這個網站。然後,我們的攻擊資料也紀錄到來自雅加達的IP流量,雖也有非雅加達的IP流量,但懷疑僅是代理伺服器所在。

因此Wordfence認為,勒索軟體是來自印尼,作者可能是bug7sec,而為印尼駭客團隊用來攻擊WordPress。

可能發展出完整功能而感染力強的勒索軟體

本文的EV勒索軟體發展還不完整,因為它只能加密、勒索,無法解密,所以目前還沒有看到有任何勒索的案件通報,目前只看到駭客試圖將它上傳到WordPress網站。

但研究人員預期它幾個月後就發展成完整的勒索軟體,可以攻擊WordPress上的檔案及資料庫,也會開始加密勒索。如果企業組織沒有做好防護,小心成為駭客的肥羊。

而對WordPress來說,現在攻擊軟體只是藉由電子郵件或SEO垃圾郵件入侵WordPress網站騙取一點蠅頭小利,或是惡搞網站。但未來駭客或許可能利用勒索軟體直接從WordPress網站上獲利。

該如何保護自己?

Wordfence建議企業適當做好備份,最好不要將備份存在Web 伺服器上。例如如果您將.ZIP檔存在伺服器上,如果伺服器被勒索軟體加密,這些備份就泡湯了。您的備份必須離線儲存,不論是放在代管ISP或是雲端儲存服務如Dropbox等。

勒索軟體簡介

勒索軟體是一種安裝在你電腦或伺服器上的惡意軟體。它們通常利用攻擊程式進入你的電腦後自動執行。

勒索軟體會以複雜而無法破解的加密法把你所有檔案都加密起來。然後攻擊者就會要你付錢來解密檔案。一般是要你付比特幣,因為比特幣讓攻擊者建立匿名的電子錢包收取,使警方無從偵查。

勒索軟體已經由來以久。早在1989年,就有一隻名為PC Cyborg 的木馬病毒就曾經向受害者勒索支付189美元到巴拿馬信箱才能換取檔案解密。當時這個加密還相當容易破解。

勒索軟體發展突飛猛進。2017年,共有100隻勒索軟體變種誕生,而且全球每年成長率高達36%。勒索軟體向受害者要求的贖金已經增長266%來到平均1077美元。

今天的勒索軟體的規模已經超出我們數年前所能想像的地步。今年5月,WannaCry勒索軟體蔓延超過150國,數十萬台電腦受害。英國國民保健署也遭殃,被迫將送來的救護車轉往其他醫院。

6月時又有Petya(或稱NotPetya或Netya) 勒索軟體從烏克蘭地區快速散佈。多個重要機構皆在這波攻擊中淪陷,包括烏克蘭國家電力公司、車諾比爾核電廠、安托夫機場、貨運龍頭Maersk及食品業巨人Modelez等。

今天許多受害個人或企業會選擇支付贖金,而且只有一部份人能成功贖回檔案。安全機構像是FBI通常會建議人們不要付錢,以免助長攻擊。但許多公司付錢根本不得不付,也因此鞏固了勒索軟體的商業模式。

 

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416