CryptoPHP
Cartão de pontuação de ameaças
EnigmaSoft Threat Scorecard
Os EnigmaSoft Threat Scorecards são relatórios de avaliação para diferentes ameaças de malware que foram coletadas e analisadas por nossa equipe de pesquisa. Os Scorecards de Ameaças da EnigmaSoft avaliam e classificam as ameaças usando várias métricas, incluindo fatores de risco reais e potenciais, tendências, frequência, prevalência e persistência. Os Scorecards de Ameaças da EnigmaSoft são atualizados regularmente com base em nossos dados e métricas de pesquisa e são úteis para uma ampla gama de usuários de computador, desde usuários finais que buscam soluções para remover malware de seus sistemas até especialistas em segurança que analisam ameaças.
Os Scorecards de Ameaças da EnigmaSoft exibem uma variedade de informações úteis, incluindo:
Classificação: A classificação de uma ameaça específica no banco de dados de ameaças da EnigmaSoft.
Nível de gravidade: O nível de gravidade determinado de um objeto, representado numericamente, com base em nosso processo de modelagem de risco e pesquisa, conforme explicado em nossos Critérios de Avaliação de Ameaças .
Computadores infectados: O número de casos confirmados e suspeitos de uma determinada ameaça detectada em computadores infectados conforme relatado pelo SpyHunter.
Consulte também Critérios de Avaliação de Ameaças .
| Nível da Ameaça: | 90 % (Alto) |
| Computadores infectados: | 1 |
| Visto pela Primeira Vez: | December 3, 2014 |
| Visto pela Última Vez: | May 4, 2019 |
| SO (s) Afetados: | Windows |
Os analistas de malware observaram uma estatística alarmante: mais de 23 mil endereços de IP estão ligados a domínios associados ao CryptoPHP! Milhares de ameaçadores Joomla, Drupal e WordPress temas e plug-ins podem ter sido usados para espalhar Trojans de backdoor e scripts corrompidos associados de alguma forma ao CryptoPHP. Servidores de Comando e Controle ligados ao CryptoPHP têm sido associados com 23.693 endereços de IP exclusivos, indicando que o CryptoPHP tornou-se muito mais generalizado do que se pensava inicialmente. A maioria dos ataque feitos pelo CryptoPHP estão centrados nos Estados Unidos.
Índice
O CryptoPHP Tornou-se um Problema Generalizado nos Últimos Meses
Pesquisas feitas em servidores de Comando e Controle associados ao CryptoPHP revelaram um elevado número de endereços de IP exclusivos acessando esses servidores em novembro de 2014. Esses números não demonstram o verdadeiro número de sites comprometidos, uma vez que, provavelmente, existem muitos mais, tendo em vista que um único servidor da rede pode hospedar vários sites. Isso significa que o mesmo endereço de IP pode ser usado por vários sites para conectar os servidores ameaçadores no mesmo servidor infectado. 8.657 endereços de IP comprometidos ocorreram nos Estados Unidos, sendo a Alemanha o segundo país mais afetado, com 2.877 endereços exclusivos.
Existem Inúmeras Infecções Anteriores que Foram Causadas pelo CryptoPHP
Os analistas de malware têm observado pelo menos dezesseis versões diferentes do CryptoPHP. A primeira variante do CryptoPHP foi detectada em setembro de 2013. Essa infecção inicial foi espalhada usando milhares de versões ameaçadoras de temas e plug-ins para sistemas de gerenciamento de conteúdo populares, tais como o Drupal, o Joomla e o WordPress. Existem numerosas versões do CryptoPHP; a mais recente é a versão 1.0 que foi observada pela primeira vez em 12 de novembro de 2014. Muitos websites comprometidos, associados ao CryptoPHP, podem desaparecer por um dia e ressurgir novamente nas versões mais recentes do CryptoPHP. Isso mostra que o CryptoPHP é ativamente atualizado e melhorado, indicando que a luta contra a CryptoPHP é uma luta constante.
Como o CryptoPHP pode ser Usado para Atacar os Usuários de Computador
O CryptoPHP é usado em táticas online bem conhecidas. O CryptoPHP pode injetar links e textos em websites. No entanto, o CryptoPHP só pode injetar esse conteúdo quando o visitante da página da Web for um rastreador da rede, ao invés de um visitante humano. Os rastreadores da rede, um recurso que pode ser utilizado pelos mecanismos de busca para indexar conteúdo, destinam-se a aumentar a utilização do mecanismo de busca dos sites associados ao CryptoPHP. Os sites que são promovidos usando esse tipo de tática são considerados antiéticos e são proibidos pelos mecanismos de busca quando descobertos. No entanto, a publicidade e o SEO podem ser muito rentáveis, significando que muitos sites obscuros podem usar essas práticas a fim de lucrar à custa dos outros.
Noções Básicas sobre Como o CryptoPHP pode Afetar os Computadores
Os responsáveis pelo CryptoPHP baseiam-se em Chisinau, localizado na República da Moldávia. Uma das justificativas para essa suposição é um agente envolvido com CryptoPHP que é chamado 'chisijen12'. Esse nome leva a um endereço IP que estava em uso desde dezembro de 2013. O CryptoPHP tem várias características que podem permitir que o CryptoPHP entre em contato com o seu servidor de Comando e Controle. No entanto, os analistas de segurança do PC tiveram dificuldade estudando as comunicações do CryptoPHP porque o CryptoPHP usa a criptografia de chave pública, RSA, para se comunicar, significando que as estatísticas sobre o conteúdo do software de gerenciamento de sistema que esiver em perigo não estão disponíveis. O CryptoPHP pode se comunicar usando e-mails e também pode ser controlado manualmente. Os pesquisadores de segurança do PC recomendam fortemente que os administradores do site fiquem certos de que o seu site não foi comprometido pelo CryptoPHP. Existem vários scripts publicamente disponíveis que podem ajudar com este processo. Se uma infecção for descoberta, não só todo o conteúdo associado ao CryptoPHP deve ser removido, como o acesso ao servidor e agentes indesejados também deve ser proibido.
