吳明宜本文目錄
勒索軟體竟然盯上 WordPress
大部份勒索軟體是以 Windows 電腦為目標。然而 Wordfence 研究人員發現一隻新的勒索軟體,竟然是瞄準 WordPress 。
研究團隊是在分析一隻攻擊 WordPress 的惡意流量時發現到有攻擊者數度上傳一隻能加密 WordPress 網站檔案的勒索軟體,並向站長勒贖。只要攻擊者一成功入侵 WordPress 就會上傳勒索軟體。它最開始的介面如下:
這個介面可提供加密與解密功能,等攻擊者選擇了一把複雜的鑰匙,將之輸入 KEY ENC/DEC 欄位,按下「送出」。
然後網站就被加密了,結果畫面如下:
但這隻勒索軟體並不會加密以下檔案:
*.php*
*.png*
*404.php*
*.htaccess*
*.lndex.php*
*DyzW4re.php*
*index.php*
*.htaDyzW4re*
*.lol.php*
針對它掌握的每個目錄,它會傳送一封郵件到 htacess12@gmail.com 告知收信人主機名稱及用於加密的密鑰。
所有受影響的檔案都會被刪除並被同名加密檔案取代,但後者會有.EV 的副檔名,表示已被加密。
技術人員注意:加密過程必須用到 mcrypt 功能,它使用的加密演算法 Rijndael128,而使用的解密金鑰是加密金鑰的 SHA-256 雜湊。一旦資料被加密,用以加密檔案的 IV(初始向量)就會轉成密文,在被寫入加密.EV 檔之前,這資料會以 base64 編碼。
解密並不完全 受害即為犧牲
加密過程開始後,這隻勒索軟體會在安裝目錄中新增 2 個檔案。第一個是.EV.php,這個檔案包含一個介面,原本是讓使用者輸入金鑰解密。它是有個表格,但其實無法作用,因為根本沒有解密的邏輯。
第二個檔案是.htacess 檔,會要呼叫導引到 EV.php 檔案。一旦你網站遭到加密,就會長以下這樣:
勒索軟體讓攻擊者可以加密你的檔案,但卻沒有可用的解密機制,但這點就足以讓攻擊者誘騙受害站長支付贖金。他們唯一目的是加密你的檔案,但他們其實供法幫你解密。
因此如果你中了這隻勒索軟體,千萬別付贖金,因此即使你付了錢,檔案也救不回來。如果他們給了一把解密金鑰,你還需要有功力高強的 PHP 開發人員來協助你修補破損的程式碼,這把金鑰才能用來解密。
罪魁禍首是何人?
這隻勒索軟體最早變種是去年 5 月出現在 Github 上。攻擊者現在正在使用的則是第 2 隻變種。 Wordfence 團隊是在上個月首度發現。
Github 上的勒索軟體作者是 bug7sec,它是一個印尼組織,它的臉書粉絲專頁顯示它提供的是「企業顧問服務」。
當你下載這隻勒索軟體時,它會載入一個 YouTube 影片,你看不到,但它會在你讀取勒索軟體使用者介面時背景播放印尼 Rap 音樂。另一個線索是它和 errorviolence.com 網站的關聯,這是印尼駭客論壇及資源網站,當你以瀏覽器開啟這隻勒索軟體許久後,它就會將你導到這個網站。然後,我們的攻擊資料也紀錄到來自雅加達的 IP 流量,雖也有非雅加達的 IP 流量,但懷疑僅是代理伺服器所在。
因此 Wordfence 認為,勒索軟體是來自印尼,作者可能是 bug7sec,而為印尼駭客團隊用來攻擊 WordPress 。
可能發展出完整功能而感染力強的勒索軟體
本文的 EV 勒索軟體發展還不完整,因為它只能加密、勒索,無法解密,所以目前還沒有看到有任何勒索的案件通報,目前只看到駭客試圖將它上傳到 WordPress 網站。
但研究人員預期它幾個月後就發展成完整的勒索軟體,可以攻擊 WordPress 上的檔案及資料庫,也會開始加密勒索。如果企業組織沒有做好防護,小心成為駭客的肥羊。
而對 WordPress 來說,現在攻擊軟體只是藉由電子郵件或 SEO 垃圾郵件入侵 WordPress 網站騙取一點蠅頭小利,或是惡搞網站。但未來駭客或許可能利用勒索軟體直接從 WordPress 網站上獲利。
該如何保護自己?
Wordfence 建議企業適當做好備份,最好不要將備份存在 Web 伺服器上。例如如果您將.ZIP 檔存在伺服器上,如果伺服器被勒索軟體加密,這些備份就泡湯了。您的備份必須離線儲存,不論是放在代管 ISP 或是雲端儲存服務如 Dropbox 等。
勒索軟體簡介
勒索軟體是一種安裝在你電腦或伺服器上的惡意軟體。它們通常利用攻擊程式進入你的電腦後自動執行。
勒索軟體會以複雜而無法破解的加密法把你所有檔案都加密起來。然後攻擊者就會要你付錢來解密檔案。一般是要你付比特幣,因為比特幣讓攻擊者建立匿名的電子錢包收取,使警方無從偵查。
勒索軟體已經由來以久。早在 1989 年,就有一隻名為 PC Cyborg 的木馬病毒就曾經向受害者勒索支付 189 美元到巴拿馬信箱才能換取檔案解密。當時這個加密還相當容易破解。
勒索軟體發展突飛猛進。 2017 年,共有 100 隻勒索軟體變種誕生,而且全球每年成長率高達 36% 。勒索軟體向受害者要求的贖金已經增長 266% 來到平均 1077 美元。
今天的勒索軟體的規模已經超出我們數年前所能想像的地步。今年 5 月,WannaCry 勒索軟體蔓延超過 150 國,數十萬台電腦受害。英國國民保健署也遭殃,被迫將送來的救護車轉往其他醫院。
6 月時又有 Petya(或稱 NotPetya 或 Netya)勒索軟體從烏克蘭地區快速散佈。多個重要機構皆在這波攻擊中淪陷,包括烏克蘭國家電力公司、車諾比爾核電廠、安托夫機場、貨運龍頭 Maersk 及食品業巨人 Modelez 等。
今天許多受害個人或企業會選擇支付贖金,而且只有一部份人能成功贖回檔案。安全機構像是 FBI 通常會建議人們不要付錢,以免助長攻擊。但許多公司付錢根本不得不付,也因此鞏固了勒索軟體的商業模式。