Baru-baru ini, tim Wordfence telah melihat ransomware digunakan dalam serangan yang menargetkan WordPress. Kami saat ini melacak varian ransomware yang kami panggil "alat pembayaran EV." Pos berikut menjelaskan apa yang dilakukan ransomware ini dan bagaimana melindungi diri Anda agar tidak terkena serangan ini.
Penjelasan Ringkas Ransomware
Ransomware adalah perangkat lunak berbahaya yang dipasang penyerang di komputer Anda atau di server Anda. Mereka menggunakan eksploitasi untuk mendapatkan akses ke sistem Anda, dan kemudian ransomware dijalankan, biasanya secara otomatis.
Ransomware mengenkripsi semua file Anda dengan menggunakan enkripsi yang tidak dapat dipecahkan kuat. Penyerang kemudian meminta Anda untuk membayar mereka untuk mendekripsi file Anda. Biasanya pembayarannya via bitcoin . Bitcoin memberi para penyerang cara untuk membuat dompet anonim di mana uang tebusan bisa dibayarkan.
Ransomware telah ada sejak lama. Ini awalnya berasal dari tahun 1989 dengan "virus kuda trojan PC Cyborg " yang akan memeras korbannya untuk mengirim $ 189 ke PO Box di Panama untuk mendapatkan file mereka didekripsi. Enkripsi pada virus itu mudah dilakukan. Ransomware saat ini berkembang pesat. Pada tahun 2017, 100 varian ransomware baru dilepaskan ke alam bebas, dan terjadi peningkatan serangan ransomware 36% dari tahun ke tahun di seluruh dunia.
Permintaan ransomware rata-rata meningkat 266% menjadi rata-rata $ 1077 per korban. [Sumber: Laporan Ancaman Symantec 2017 ] Tahun ini kita telah melihat serangan ransomware dalam skala yang pasti sulit dibayangkan beberapa tahun yang lalu. Pada bulan Mei tahun ini, serangan ransomware WannaCry mempengaruhi ratusan ribu orang di lebih dari 150 negara.
Sistem Kesehatan Nasional Inggris terpengaruh dan harus mengalihkan ambulans dari rumah sakit yang terkena dampak. Pada bulan Juni, kami melihat kapal perang Petya (akhirnya dijuluki NotPetya atau Netya) dengan cepat menyebar, dimulai di Ukraina. Sejumlah besar organisasi profil tinggi terpengaruh, termasuk perusahaan listrik negara Ukraina, reaktor nuklir Chernobyl, pesawat Antonov, perusahaan pelayaran Maersk dan raksasa makanan Modelez.
Saat ini sejumlah besar orang dan organisasi yang terkena dampak benar-benar membayar penyerang saat mereka terkena ransomware, dan terkadang file mereka berhasil didekripsi. Organisasi keamanan, termasuk FBI , umumnya menyarankan pelanggan untuk tidak membayar penyerang karena ini mendorong penyebaran serangan semacam ini.
Namun, banyak organisasi tidak memiliki pilihan untuk tidak memulihkan data mereka - dan karenanya mereka membayar, yang mengabadikan model bisnis kriminal ini.
Ransomware Sekarang Targetkan WordPress
Kebanyakan ransomware menargetkan workstation Windows. Namun, tim Wordfence saat ini melacak jenis ransomware yang muncul yang menargetkan situs web WordPress.
Selama analisis kami terhadap lalu lintas berbahaya yang menargetkan situs WordPress, kami menangkap beberapa upaya untuk mengunggah ransomware yang menyediakan penyerang dengan kemampuan mengenkripsi file situs WordPress dan kemudian memeras uang dari pemilik situs.
Uang tebusan itu diupload oleh penyerang begitu mereka mengkompromikan situs WordPress. Ini menyediakan penyerang dengan antarmuka awal yang terlihat seperti ini:
Antarmuka ini menyediakan fungsi enkripsi dan dekripsi ke penyerang, Penyerang kemudian memilih kunci yang kompleks, memasukkannya ke bidang "KUNCI ENC / DEC" dan klik kirim. Situs ini kemudian dienkripsi.
Hasilnya terlihat seperti ini:
The ransomware tidak akan mengenkripsi file yang memiliki pola berikut:
- * .php *
- * .png *
- * 404.php *
- * .htaccess *
- * .lndex.php *
- * DyzW4re.php *
- * Index.php *
- * .htaDyzW4re *
- * .lol.php *
Untuk setiap direktori yang proses ransomware, ia akan mengirim email ke "[email protected]" yang menginformasikan penerima tentang nama host dan kunci yang digunakan untuk melakukan enkripsi. Semua file yang terkena dampak dihapus dan file lain menggantikan tempatnya dengan nama yang sama, namun dengan ekstensi ".EV".
File baru ini dienkripsi. Untuk audiens teknis kami: Proses enkripsi menggunakan fungsionalitas mcrypt, dan algoritma enkripsi yang digunakan adalah Rijndael 128. Kunci yang digunakan adalah hash SHA-256 dari kunci enkripsi penyerang yang disediakan. Setelah data dienkripsi, IV yang digunakan untuk mengenkripsi file ditambahkan ke ciphertext, dan datanya berbasis base64-dikodekan sebelum ditulis ke berkas .EV yang terenkripsi.
Dekripsi Tidak Lengkap
Saat proses enkripsi dimulai, ransomware membuat dua file di direktori instalasinya. Yang pertama diberi nama "EV.php," sebuah file yang berisi sebuah antarmuka yang seharusnya memungkinkan pengguna untuk mendekripsi file mereka jika mereka memiliki sebuah kunci.
File ini berisi form, tapi tidak berfungsi karena tidak termasuk logika dekripsi. File kedua adalah file .htaccess yang mengalihkan permintaan ke file EV.php. Setelah situs Anda dienkripsi, akan terlihat seperti ini:
Ransomware ini menyediakan penyerang dengan kemampuan untuk mengenkripsi file Anda, namun sebenarnya tidak menyediakan mekanisme dekripsi yang bekerja. Memang, bagaimanapun, memberi penyerang apa yang mereka butuhkan untuk mengelabui pemilik situs yang terkena dampak untuk membayar uang tebusan.
Satu-satunya tujuan mereka adalah mengenkripsi file Anda. Mereka tidak benar-benar harus membuktikan bahwa mereka dapat mendekripsi file Anda agar bisa membayar uang tebusan. Jika Anda terpengaruh oleh uang tebusan ini, jangan membayar uang tebusan, karena tidak mungkin penyerang benar-benar akan mendekripsi file Anda untuk Anda.
Jika mereka memberi Anda kunci, Anda memerlukan pengembang PHP berpengalaman untuk membantu memperbaiki kode rusak agar bisa menggunakan kunci dan membalikkan enkripsi.
Cara Melindungi Diri Sendiri
Uang tebusan ini pertama kali dilihat oleh Wordfence yang digunakan dalam usaha serangan tunggal pada tanggal 7 Juli. Kami merilis tanda tangan perangkat lunak perusak ke pelanggan Premium Wordfence kami pada tanggal 12 Juli yang dirancang khusus untuk mendeteksi alat pembayaran ini dan variannya.
Itu berarti firewall pelanggan premium kami telah memblokir upaya untuk mengunggah uang tebusan ini sejak saat itu. Pemindaian Wordfence juga telah mendeteksi adanya ransomware ini untuk pelanggan Premium sejak 12 Juli. 30 hari kemudian pada tanggal 11 Agustus, peraturan ini tersedia bagi pelanggan komunitas bebas kami.
Jika Anda menjalankan Wordfence Premium atau Wordfence gratis di situs web Anda, Anda saat ini terlindungi dari serangan ini. Kata-kata akan melindungi Anda dari serangan pertama ini. Kami juga merekomendasikan agar Anda memiliki backup yang andal. Penting agar Anda tidak menyimpan backup Anda di server web Anda.
Jika, misalnya, mereka disimpan dalam arsip ZIP di server Anda, maka jika situs Anda diambil alih oleh uang tebusan ini, backup juga akan dienkripsi dan tidak ada gunanya.
Pencadangan Anda harus disimpan secara offline, baik dengan penyedia hosting Anda atau menggunakan layanan penyimpanan awan seperti Dropbox.
Siapa yang bertanggung jawab
Varian paling awal dari uang tebusan ini muncul pada bulan Mei tahun lalu di Github . Versi 2 dari uang tebusan adalah penyerang yang saat ini menggunakan. Pertama kali kami melihat ransomware ini digunakan di alam liar untuk menargetkan situs WordPress bulan lalu. Penulis ransomware di Github bug7sec , Grup Indonesia yang memiliki halaman Facebook yang telah mendaftarkan diri mereka sebagai "konsultan bisnis".
Kode sumber menggunakan kata-kata bahasa Indonesia seperti "except," yang berarti "kecuali" dalam bahasa Inggris. Anda bisa melihat ini di contoh kode sumber di bawah ini:
Fungsi di atas menentukan apakah harus mengecualikan file dari enkripsi, jadi kata 'except' masuk akal dalam konteks ini sebagai nama fungsi Indonesia. Saat Anda memuat ransomware, ini memuat video YouTube yang tidak terlihat, namun Anda dapat mendengar audio diputar di latar belakang saat Anda melihat antarmuka pengguna ransomware.
Video tersebut memainkan lagu rap Indonesia dan liriknya sepertinya menyebutkan hacking. Judul video tersebut adalah "ApriliGhost - Defacer Kampungan."
Jika Anda melihat @aprilighost di Twitter, Anda menemukan akun ini, yang terhubung dengan akun Facebook Indonesia ini. ApriliGhost mungkin bukan penyerang, tapi video itu berasal dari Indonesia - koneksi Indonesia lebih jauh. Petunjuk lain adalah bahwa ransomware tampaknya terhubung dengan situs web errorviolence.com.
Saat melihat ransomware di browser web, setelah beberapa waktu, Anda akan mengarahkan Anda ke situs tersebut, yang merupakan forum dan situs hacking di Indonesia dengan sumber daya untuk peretas.
Sumber : wordfence.com