info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

باج‌افزار EV در کمین سایت‌های وردپرسی

خلاصه: محققان شرکت  Wordfence از وجود یک باج‌افزار با نام EV خبر داده‌اند که هدف آن سایت‌های وردپرسی است. مهاجمان با نفوذ به سایت‌های وردپرسی فایل‌های روی سرور را رمز می‌کنند و از قربانی تقاضای باج می‌کند. در ازای دریافت باج تنها کلید رمزگشایی در اختیار قربانی قرار می‌دهد و قربانی برای بازگردانی فایل‌ها خود باید برنامه رمزگشایی را بنویسد که کار دشواری است و نیاز به متخصص دارد.

شرکت امنیتی Wordfence که در حوزه امنیت سایت‌های وردپرسی فعال است تعدادی رویداد در زمینه بارگذاری باج‌افزار روی وب‌سایت‌های وردپرسی که فایل‌های وب‌سایت را رمز می‌کنند را گزارش نموده است. این باج‌افزار که EV نام‌گذاری شده است به انتهای فایل‌های رمز شده پسوند .ev اضافه می‌کند.

این باج‌افزار روی سایت وردپرسی بارگذاری شده و و مهاجم فرایند رمزنگاری را با استفاده از یک کلید پیچیده اجرا می‌کند. باج‌افزار همه فایل‌ها را رمز نمی‌کند و بعضی را رمز نشده باقی می‌گذارد. باج‌افزار از الگوریتم Rijndael و کلید SHA-256 برای رمزنگاری استفاده می‌کند.

مساله مهم دیگر در مورد این باج‌افزار این است که حتی اگر قربانی باج ۰.۲ بیت‌کوینی که حدودا برابر ۸۰۰ دلار است را پرداخت کند تنها کلید رمزگشایی را دریافت می‌کند و روند رمزگشایی که روندی پیچیده است را باید خود انجام دهد. در واقع باج‌افزار تنها برای رمزنگاری استفاده می‌شود و روند رمزگشایی را توسعه نداده است.

کارشناسان توصیه می‌کنند که اگر به این باج‌افزار دچار شدید باج ندهید زیرا این امکان وجود دارد که هکرها کلید رمزگشایی را در اختیار شما قرار ندهند. اگر کلید رمزگشایی نیز در اختیار شما قرار بگیرد شما به یک متخصص زبان PHP نیاز دارید که فایل‌های خود را رمزگشایی کنید.

بر اساس بررسی کارشناسان این نسخه‌هایی از این باج‌افزار روی گیت‌هاب وجود داشته و با توجه به بررسی کد باج‌افزار و نام حساب کاربری گیت‌هاب می‌توان گفت که نویسنده باج‌افزار از اندونزی است. کارشناسان همچنین معتقدند که این باج‌افزار کامل نشده ولی همچنان برای باج‌خواهی استفاده می‌شود. کارشناسان معتقدند که این باج‌افزار به زودی کامل خواهد شد و همه فایل‌ها و پایگاه داده را تحت تاثیر قرار خواهد گذاشت.

شرکت Wordfence اعلام نموده که امنیت مشترکان خود را در مقابل این باج‌افزار تامین می‌کند. همچنین لازم است که مدیران سایت‌ها از سایت خود نسخه پشتیبان داشته و آن را در یک مکان خارج از سرور نگه‌داری کنند.