El ransomware EV se carga una vez que el atacante logra comprometer un sitio web de WordPress
El atacante inicia el proceso de encriptación de una interfaz, después de elegir una clave compleja y pulsando el botón “Enviar”El ransomware EV encripta la mayor parte de los archivos, pero también deja algo sin cifrar.
“El proceso de cifrado utiliza la funcionalidad de mcrypt, y el algoritmo de cifrado utilizado es Rijndael 128. La clave que se utiliza es un hash SHA-256 de la clave de cifrado proporcionado por el atacante,” el equipo Wordfence.
“Una vez que los datos están cifrados, el IV utilizado para cifrar el archivo se antepone al texto cifrado, y los datos es codificado en base 64 antes de que se escribe en el archivo cifrado .ev.”
Otra cosa que es importante para las víctimas sepan es que incluso si pagan el rescate y recibir la clave de descifrado, el descifrado de los archivos será un proceso sencillo.
“Este ransomware permite a un atacante la capacidad de cifrar sus archivos, pero en realidad no proporcionan un mecanismo de descifrado de trabajo”, el equipo advierte.
“Si se ve afectado por esta ransomware, no pagar el rescate, ya que es poco probable que el atacante descifrará sus archivos para usted. Si se le proporcionará una clave, se necesita un desarrollador de PHP con experiencia para ayudarle a reparar su código roto con el fin de utilizar la llave y revertir la encriptación “.
Consejos de protección para el ransomware EV
Wordpress ha lanzado la protección contra ransomware EV a sus usuarios. El resto se puede minimizar el peligro al mantener sus instalaciones hasta a la fecha, asegurando sus cuentas de la mejor manera posible, y al hacer copias de seguridad fiables- y mantenerlos fuera del servidor web si ellos no quieren verlos codificadas también.Según los investigadores, se han encontrado variantes del ransomware publicada en GitHub, y algunos de ellos se remontan a mayo de 2016. El contenido del código fuente y el nombre del propietario de la cuenta de GitHub es de un grupo de Indonesia.
Observaron que el ransomware es incompleta, pero todavía se pueden utilizar para extorsionar.
“Hasta ahora sólo estamos viendo intentos para dejar caer esta ransomware en los sitios web de WordPress. Esperamos que esta evolucione en los próximos meses en ransomware completamente funcional que se dirige tanto a los archivos y bases de datos de WordPress. También esperamos para empezar a ver los casos de extorsión “, concluyeron los investigadores.
A principios de 2016, los atacantes fueron vistos usando CTB Locker con capacidades web-cifrado, pero nunca se convirtió en una amenaza generalizada.
Fecha actualización el 2021-8-16. Fecha publicación el 2017-8-16. Categoría: Wordpress. Autor: Oscar olg Mapa del sitio Fuente: helpnetsecurity