O EV Ransomware Coloca SItes do WordPress na Sua Mira
As ameaças de ransomware foram particularmente ativas em 2017. Elas são conhecidas como um Trojan que entra no computador, criptografa seus arquivos e pede dinheiro em troca de uma chave de descriptografia. No entanto, esse nem sempre é exatamente o caso. O ransomware em questão hoje é de uma variedade menos conhecida dessa ameaça altamente perigosa e acredita-se que seja originário da Indonésia.
Índice
Como o EV Ransomware Infecta os PCs
Essa nova ameaça que surgiu recebeu o nome de EV Ransomware. O que o torna especial é que, em vez de direcionar os arquivos para um determinado computador, ele procura sites que executam o WordPress. Os autores do EV Ransomware estão explorando vulnerabilidades que podem ser encontradas em certos plug-ins, geralmente desatualizados. Se isso for encontrado, a ameaça poderá obter credenciais de administrador e encontrar o caminho para o servidor. A partir de então, é fácil - o EV Ransomware descarta sua carga útil e infecta o servidor. Ao infectar o destino, os criadores do EV Ransomware precisam executar manualmente o armário de arquivos e configurar a chave que deve criptografar os dados visados. Com isso, o EV Ransomware informa seus autores por e-mail sobre os dados referentes à vítima, como nome de domínio, endereço e a chave de criptografia usada. O email que contém esses dados será enviado para htaccess12@gmail.com, que é o endereço de email dos invasores. Quando a criptografia for concluída, todos os arquivos afetados terão uma extensão ".EV". O decodificador parece estar implementado nos arquivos descartados pelo ransomware. A vítima receberá uma nota de resgate na forma de um arquivo .php chamado "EV.php". A nota estará localizada no diretório principal do sistema WordPress. Quando a vítima carrega a página de descriptografia, eles serão solicitados a pagar uma quantia de resgate de 0,2 (aproximadamente US $900) Bitcoins em troca de uma chave de descriptografia que deve ser inserida no site comprometido para iniciar o processo de descriptografia de arquivos.
Método de Criptografia
O módulo de criptografia em que o EV Ransomware conta é bastante complexo, e é claro que os autores não pouparam recursos e tempo para encontrar uma maneira segura de bloquear os arquivos de suas vítimas. Quando o ataque do malware criptográfico começa, ele usa a chave privada incorporada do invasor e, em seguida, usa o SHA-256 para fazer o hash, tornando a descriptografia uma tarefa quase impossível. Quando o conteúdo de um arquivo tiver sido criptografado com êxito, ele será codificado via base64 e, em seguida, gravado na versão criptografada do arquivo. Por último, mas não menos importante, o arquivo criptografado recém-criado também terá a extensão '.EV' anexada ao seu nome.
Não há Como Descriptografar os Seus Arquivos
Caso o EV Ransomware tenha afetado você, não se preocupe em pagar o resgate. Nunca é apenas uma boa opção de pagamento, desta vez os autores da ameaça nem sequer têm um mecanismo de trabalho que forneça a você uma chave de descriptografia. No entanto, o que você deve fazer para se proteger de ameaças tão desagradáveis é sempre fazer backup de seus arquivos importantes em um disco rígido offline. Além disso, assim como manter todo o seu software atualizado no seu computador minimizaria o risco de infecção, manter todos os seus plugins atualizados no WordPress faria o mesmo. Apesar de ser tedioso ao atualizar constantemente aplicativos e plugins, você não deve negligenciá-lo ou corre o risco de lidar com pragas como o EV Ransomware.