Ten ransomware usunie Twoją stronę WWW i wyświetli komunikat z okupem

4 listopada, 2016

Chociaż malware z rodziny ransomware, które infekuje strony WWW (aka web-encryption) nie jest dla badaczy złośliwego poprogramowania niczym specjalnie nowym, to na swój sposób jest fenomenem. Mówcie co chcecie, ale naszym zdaniem, skuteczne wykorzystanie tego zagrożenia przeciwko konkurencyjnej firmie, będzie niczym cios zadany poniżej pasa: otóż ransomware taki, nie tylko wyłudzi okup (co oczywiście przełoży się na bezpośrednie, ale i krótkoterminowe straty finansowe), ale w dłuższej perspektywie czasu wyrządzi szkody na skalę, którą trudno zmierzyć — firma straci dużo więcej niż kilka Bitcoinów przekazanych na poczet haraczu.

Najważniejsze w tej kwestii są straty wynikające z utraty wizerunku i zaufania klientów. Mogą one bezpośrednio wpłynąć na sektor e-commerce, prywatne blogi, fora internetowe lub portale mniejsze i większe. W skrajnych wypadkach, kilkudniowy zastój spowodowany atakiem może prowadzić do trudnych do przewidzenia następstw: wasz biznes może zniknąć niczym mydlana bańka. Grupa Adweb coś o tym wie: przecież długofalowo, utrata klientów na skutek konfliktu administrator-prezes, a „unieruchamiania” strony WWW przez ransomware, tak naprawdę ma ze sobą bardzo dużo wspólnego. Mianowicie, klienci tracą dostęp do usługi, szukają w tym czasie konkurencyjnych ofert lub na stałe wynoszą się ze swoimi pieniędzmi do kogoś innego, a w dodatku nieprzychylna opinia bardzo szybko roznosi się w Internecie. Utrata zaufania klientów — niezależnie od wielkości biznesu, jaki prowadzicie — jest czymś, czego nie da się już odzyskać. 

To ransomware, czy jednak włamanie na serwer?

W przypadku systemów Windows i Mac OS X sytuacja jest jednoznaczna — użytkownicy mają do czynienia z socjotechniką i na własną prośbę uruchamiają plik binarny, który podszywa się pod niezapłaconą fakturę, rachunek za telefon, przedsądowe wezwanie do zapłaty. W większości przypadków, do zaszyfrowania plików na dyskach lokalnych wymagana jest interakcja ze strony użytkownika, jednak istnieje pewien typ transparentnych ataków, które przy wykorzystaniu narzędzi Exploit Kit automatyzują proces exploit’owania niezaktualizowanego oprogramowania (przeglądarek internetowych) wstrzykując niewykrywalny payload, co skutkuje wykonaniem złośliwego kodu z uprawnieniami w obrębie atakowanej aplikacji.

Jeśli chodzi o ransomware FairWare, mówimy o ominięciu zabezpieczeń serwerów opartych o dystrybucje systemu Linux. Dzięki zastosowaniu ataku Brute-Force na protokół SSH, atakujący bombarduje serwer próbami logowania (najczęściej wykorzystuje loginy oraz hasła pozyskane z różnych wycieków baz danych oraz te standardowe, jak „admin”, „root”, itp.). Jeżeli mu się powiedzie, to uzyskuje dostęp do konfiguracji całej maszyny. W następstwie tych działań, na serwer kopiowany jest skrypt, który szyfruje większość plików: grafiki, pliki szablonu graficznego, .htaccess, itp. Zostaje także podmieniony plik index.html, co kończy się wyświetleniem prostej strony HTML z informacją o okupie.

Jeżeli ofiara nie zapłaci na wskazany adres 2 BTC (na dzień 4 listopada 2016 roku kurs 1 BTC jest na poziomie 2755zł), to według komunikatu, pliki po dwóch tygodniach zostaną bezpowrotnie usunięte (nikomu nie udało się tego potwierdzić w praktyce).

YOUR SERVER HAS BEEN INFECTED BY FAIRWARE | YOUR SERVER HAS BEEN INFECTED BY FAIRWARE

Hi,

Your server has been infected by a ransomware variant called FAIRWARE.

You must send 2 BTC to: 1DggzWksE2Y6DUX5GcNvHHCCDUGPde8WNL within 2 weeks from now to retrieve your files and prevent them from being leaked!


We are the only ones in the world that can provide your files for you!

When your server was hacked, the files were encrypted and sent to a server we control!


You can e-mail [email protected] for support, but please no stupid questions or time

wasting! Only e-mail if you are prepared to pay or have sent payment! Questions such as:

"can i see files first?" will be ignored.

We are business people and treat customers well if you follow what we ask.


FBI ADVISE FOR YOU TO PAY: https://www.tripwire.com/state-of-security/latest-security-news/ransomware-victims-should-just-pay-the-ransom-says-the-fbi/


HOW TO PAY:

You can purchase BITCOINS from many exchanges such as:

http://okcoin.com

http://coinbase.com

http://localbitcoins.com

http://kraken.com


When you have sent payment, please send e-mail to [email protected] with:

1) SERVER IP ADDRESS

2) BTC TRANSACTION ID

and we will then give you access to files, you can delete files from us when done

Goodbye!

W jaki sposób zabezpieczyć swoją stronę WWW?

Jako, że w tym przypadku atakowane są nie tylko strony oparte o popularnego WordPress’a, właściciele witryn internetowych, którzy nie mogą pozwolić sobie na tak trudną do przewidzenia w skutkach „awarię”, bez chwili wahania powinni odpowiednio zabezpieczyć konfigurację swojego serwera lub strony internetowej:

1. O ile to możliwe, należy zaktualizować rdzeń CMS-a oraz moduły do najnowszej wersji. Koniecznie.

2. Serwer HTTP również powinien być maksymalnie zaktualizowany.

3. Warto rozważyć zamaskowanie adresu IP swojego serwera za siecią CDN (content delivery network), np. CloudFlare, co też pozwoli na uniknięcie większej ilości ataków oraz odsiania przypadkowych botów z egzotycznych krajów.

4. Płatne webowe firewalle lub darmowe rozwiązania bazujące na mod_security to także dobry pomysł do zabezpieczenia swojej strony przed „niepoprawnym” ruchem internetowym.

5. Właściciele stron, którzy zarządzają swoimi serwerami VPS powinni korzystać z najnowszych wersji kerneli, najlepiej już z łatką grsecurity, która chroni przed zagrożeniami 0-day.

6. Dobrze jest wyłączyć logowanie na root’a poprzez hasło, które powinno być zastąpione logowaniem z wykorzystaniem kluczy.

7  W przypadku konieczności użycia konta root, należy logować się na konto o niższych uprawnieniach, a później przełączać się na root.

8. Skonfigurowanie iptables lub jego alternatywy CSF to także dobry pomysł.

9. Do ochrony przed atakami brute-force doskonale nadaje się fail2ban.

10. Do zalogowania się do kont FTP należy stosować konto użytkownika, a nie root’a.

11. W przypadku stosowania hostingu współdzielonego, należy stosować odrębne konta FTP do każdej strony.

12. Dla serwerów VPS / serwerów dedykowanych, FTP należy zastąpić SFTP.

13. Najważniejsza rzecz to kopia zapasowa bazy danych oraz plików — przynajmniej 2x dziennie. 

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
1 Komentarz
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]