WordPress coraz częściej atakowany przez oprogramowanie ransomware

WordPress Ransomware

Złośliwe oprogramowanie typu ransomware służy do przeprowadzania jednego z najperfidniejszych rodzajów ataków. Dane znajdujące się na dysk twardym zostają zaszyfrowane, a zaatakowany użytkownik może otrzymać klucz pozwalający na odszyfrowanie dysku w zamian za przesłanie atakującemu okupu (najczęściej w zapewniającej anonimowość walucie Bitcoin).

Do niedawna zagrożeni tego typu atakami byli jedynie użytkownicy systemów Windows (głównie ci, którzy luźno podchodzą do tematyki bezpieczeństwa). Kilka miesięcy temu głośno było o ransomware o nazwie WannaCry, który zainfekował setki tysięcy komputerów na całym świecie. Teraz jednak twórcy złośliwego oprogramowania wzięli na celownik WordPressa i zaczynają przeprowadzać tego typu ataki na korzystające z niego strony internetowe.

Jak działa ransomware celujący w WordPressa?

Oczywiście aby atakujący mógł zainstalować na naszej stronie oprogramowanie typu ransomware musi najpierw otworzyć sobie „tylną furtkę”. Najczęściej robi to wykorzystując jedną ze znanych luk (w samym WordPressie lub we wtyczce czy motywie), tak więc jeśli stosujemy się do podstawowych zaleceń dotyczących bezpieczeństwa, to ryzyko, że taki atak się powiedzie, jest niewielkie.

Po zainstalowaniu na naszej stronie złośliwego oprogramowania zostaje uruchomiony proces szyfrowania danych. Oryginalne (niezaszyfrowane) pliki są bezpowrotnie usuwane. Klucz użyty do zaszyfrowania danych zostaje przesłany e-mailem do atakującego, a nasza strona zostaje zastąpiona stroną z infromacją o portfelu Bitcoin, na jaki należy wysłać okup, aby otrzymać klucz niezbędny do odzyskania strony.

WordPress Ransomware

W nowszych wersjach pokazanego na zrzucie ekranu ransomware dodano (dla zwiększenia efektu) licznik, który odlicza czas do usunięcia plików naszej strony.

Dokładne działanie ransomware od strony technicznej opisano na blogu WordFence.

Co zrobić gdy staniemy się ofiarami ataku?

Jak nietrudno się domyślić, jeśli regularnie wykonujemy kopię bezpieczeństwa naszej strony, to bez problemu możemy odtworzyć jej stan sprzed ataku, a następnie koniecznie zająć się jej zabezpieczeniem (czyli usunięciem luki, za pomocą której atakujący przejął nasz serwis).

Co jednak możemy zrobić jeśli nie dysponujemy w miarę świeżą kopią? Przede wszystkim nie płacimy okupu! W Sieci można znaleźć historie osób, które to zrobiły i nigdy nie otrzymały klucza użytego do zaszyfrowania danych. Co więcej, kod złośliwego oprogramowania nie zawiera żadnych funkcji deszyfrujących, tak więc z dużą dozą prawdopodobieństwa można założyć, że jego autorzy nigdy nie mieli zamiaru odzyskiwać danych zaatakowanych stron.

Ponieważ klucz użyty do zaszyfrowania danych jest wysyłany e-mailem, można pokusić się o sprawdzenie logów serwera, które (zależnie od konfiguracji) mogą zawierać treść wysłanej wiadomości. Jednak mimo że algorytm szyfrowania używany przez ransomware jest znany, to odszyfrowanie całej strony może być zadaniem dość czasochłonnym i wymagającym nieco technicznej wiedzy.

Jak widać, najskuteczniejszą metodą ochrony przed skutkami tego typu ataków jest wykonywana codziennie kopia bezpieczeństwa, a stosowanie podstawowych zasad bezpieczeństwa pozwala zminimalizować ryzyko infekcji.

Bezpośredni link

  • Dzięki za informację. Zrobię kopii dla swoich starych stronek. ;)

  • Ciekawy wpis uświadamiający, że warto robić backup. Ja tak go wykonuję codziennie a baza danych zrzucana jest średnio 2-6 razy dziennie. Częstotliwość zależy od strony, co się na niej znajduje i jak często robione są zmiany/transakcje. Mimo, że hostingodawca robi backup we własnym zakresie to ten mój trzymany w innym miejscu na świecie już nie raz się przydał.

  • Czyli zostaje nam tylko robić często kopie bezpieczeństwa :)

  • Tomek_85

    Również bardzo często miałem problemy z atakami na moją stronę, która od wielu lat stoi na Wordpressie. Niestety kopie wykonywane przez hosting często są mocno nieaktualne, ze względu na częste zmiany w rekordach. Dopiero porady fachowców z BauerSEO pozwoliły mi zabezpieczyć moje zasoby w odpowiedni sposób, przez co od dłuższego czasu nie wykrywam żadnych wirusów.