Kebanyakan ransomware mengincar perangkat Windows dan beberapa saat lalu sempat mengabarkan isu serangan pada apple juga. Bagaimanapun, team Wordfence saat ini melacak jenis ransomware yang muncul dan mengincar situs web WordPress. Selama proses analisis oleh tim Wordfence tentang lalu lintas berbahaya yang menargetkan situs wordpress, mereka menemukan beberapa usaha untuk meng-unggah ransomware yang menyediakan penyerang dengan kemampuan untuk mengunci file website WordPress yang kemudian meminta tebusan kepada pemilik website.
Baca Juga : Mengenal Perkembangan (Sejarah) Ransomware
Ransomware tersebut diupload oleh penyerang begitu mereka membuka sebuah website wordpress. Penyerang kemudian menampilkan interface seperti ini :
Tampilan ini menyediakan fungsi enkripsi dan decrypt ke penyerang. Hacker kemudian memilih kunci yang rumit kemudian memasukkan ke kolom key kemudian klik submit. Website kemudian akan terenkripsi. Hasilnya akan tampil seperti ini :
Ransomware tidak akan meng enkripsi file yang memiliki pola ini
- *.php*
- *.png*
- *404.php*
- *.htaccess*
- *.lndex.php*
- *DyzW4re.php*
- *index.php*
- *.htaDyzW4re*
- *.lol.php*
Untuk setiap direktori yang terkena ransomware, ia akan mengirim email ke htaccess@gmail.com yang akan menginformasikan penerima tentang nama host dank unci yang digunakan untuk melakukan enkripsi. Semua file yang terkena dampak akan dihapus dan file lain akan menggantikan tempatnya namun dengan enkripsi yang berbeda.
Untuk para teknisi: Proses enkripsi menggunakan fungsi mcrypt, dan algoritma enkripsinya adalah Rijindael 128. Kunci tersebut adalah SHA-256, setelah data dienkripsi file dittambahkan ke ciphertext, dan datanya berbasis base64 di kodekan sebelum ditulis ke file .EV yang terenkripsi
Ketika proses enkripsi di mulai, ransomware membuat dua file dalam folder instalasi. Pertama bernama EV.php, sebuah file yang berisi sebuah antar muka yang bisa digunakan oleh pengguna untuk membuka kunci jika mereka punya kodenya. File ini memiliki form, tapi tidak berjalan Karena tidak memiliki fungsi dekripsi. File ke dua adalah .htaccess, file yang mengalihkan request URL ke file EV.php. Pertama kali ketika website telah di enkripsi, itu akan menampilkan seperti ini :
Ransomware ini menyediakan penyerang dengan kemampuan untuk mengenkripsi file anda, namun sebenarnya tidak meyediakan mekanisme untuk mendekrip. Memang bagaimanapun, memberi hacker apa yang mereka butuhkan untuk mengelabuhi pemilik website yang terkena serangan untuk membayar uang tebusan. Satu satu nya tujuan mereka adalah mengenkripsi file anda.
Jika anda terinfeksi dengan ransomware, jangan membayar, Karena tidak mungkin penyerang benar-benar akan mendekripsi file Anda. Jika mereka memberi anda kunci, anda memerlukan pengalaman mengembangkan PHP untuk memperbaiki kode yang rusak agar bisa menggunakan kunci dan mengembalikan enkripsi.
Sumber :Â https://www.wordfence.com/blog/2017/08/ransomware-wordpress/
