紧急通知!上百个WordPress网站受到了TeslaCrypt的影响

发表于:2016-02-13 10:30:00 来源:  360安全播报 阅读数(0人)



随着WordPress的不断发展,基于WordPress建站的网站运营商们也应该开始意识到,现在有大量被入侵的站点正在帮助网络犯罪分子传播TeslaCrypt勒索软件,而且受影响的平台数量正在激增。


对于很多普通用户来说TeslaCrypt可能非常陌生,但这款勒索恶意软件自2015年8月大面积爆发以来,在全球范围内已经造成了非常严重的影响。


TeslaCrypt是一款臭名昭著的勒索软件CryptoLocker的变体,专攻那些热门游戏的玩家,被它盯上的游戏包括:使命召唤、暗黑破坏神、异尘余生、Minecraft、魔兽争霸、F.E.A.R、刺客信条、生化危机、魔兽世界、英雄联盟以及坦克世界等二十余种游戏。研究人员同时发现,Nuclear、Sweet Orange和Angler等漏洞利用工具包正在使用这款工具。


一旦感染计算机,TeslaCrypt就会加密计算机上的文件,然后指示受害者前往一个解密网站,目标用户需要支付2.5个比特币(约550美元)才能恢复他们的文件。不过调查显示,截止至2015年4月16日,还没有人支付赎金。


现在,有很多网站都是基于WordPress内容管理系统来进行开发的,相应的网络管理人员在对这些网站进行维护的过程中,应该注意网站的安全问题。研究人员发现,现在有大量的WordPress网站会向网站的访问者悄悄发送勒索软件。


Heimdal安全公司的研究专家表示,攻击者在成功入侵了WordPress网站之后,会将访问该网站的用户重定向至另一个域名,攻击者会在这个域名所绑定的服务器中加载Nuclear漏洞利用工具。


如果用户在访问被恶意软件感染的WordPress站点时,使用的是旧版本的IE浏览器,或者浏览器中安装了旧版本的Flash Player和Adobe Reader插件,那么用户的计算机就会被勒索软件Teslacrypt感染。Heimdal的安全研究专家发现,入侵WordPress站点的攻击者通过一个经过混淆处理的JavaScript脚本来利用了WordPress内容管理系统中的漏洞,但是我们目前仍不了解有关此漏洞的具体信息。脚本中的恶意代码能够将目标用户重定向至一个域名为“chrenovuihren”的恶意网站,攻击者会在这个恶意网站中加载一些在线广告,而这些广告能够将目标用户的网络通信数据发送至加载了Nuclear漏洞利用工具的服务器之中。


Heimdal安全公司发表了一篇文章,该公司的安全研究人员在这篇文章中写到:“我们的安全团队警告大家,目前有大量采用WordPress内容管理系统建站的网站已经被网络犯罪分子成功入侵了。其中有上百个WordPress网站正在传播恶意软件。攻击者在这些网站的服务器中加载了经过混淆处理的恶意JavaScript脚本。如果用户访问了这些被攻击的网站,那么他们将会被重定向至一个名为“chrenovuihren”的网站。”




在此之前,攻击者也曾利用过Nuclear漏洞利用工具来传播勒索软件,所以这也不是什么新鲜事了。在去年的11月,安全研究人员发现有攻击者利用这个漏洞利用工具来传播勒索软件CryptoWall 4.0。而且据了解,以前也有网络犯罪团伙利用这款工具来传播过CryptoWall 3.0。

Heimdal安全公司的安全研究人员经过了仔细的研究和分析之后,发现了Nuclear EK网关的三个IP地址:

159,203.24 [.] 40

164,132.80 [.] 71

162,243.77 [.] 214

在此次事件中,攻击者需要使用很多不同的域名来传播恶意软件,而这些域名全部都是“chrenovuihren”的子域名。


Heimdal安全公司的研究人员还表示:“在此次攻击事件,攻击者使用了大量的域名来传播恶意代码,所以服务器才可以根据访问者的IP地址和DNS查询请求来进行快速响应。目前,我们已经封锁了超过85个与此次攻击事件有关的网站,但毫无疑问的是,这一数量还会继续增加。”


让我们感到担心的是,目前针对此类安全威胁的检测成功率仍然非常的低。根据VirusTotal的报告,在66个反病毒产品中,仅有两款杀毒软件能够检测到这一安全威胁。


在此之前,Sucuri的安全研究专家曾发现了另一个大规模的黑客攻击行动。而就在几天之后,就有大量基于WordPress的网站受到了黑客的攻击。Heimdal的安全研究人员推测,这两个黑客活动背后的始作俑者应该是同一群人。


这些采用WordPress建站的网络运营商们应当尽全力来保护他们的服务器。我们在下方给大家列出了一些非常关键的处理方法,这些方法能够有效地保护网站服务器不受勒索软件的影响,希望各大网络运营商们能够采纳我们的建议:


l 持续更新你的操作系统以及相应的软件;

l  定时备份你的网站数据,并且将数据备份存储在不同的地方;

l  由于传统的反病毒软件无法检测或防范此类安全威胁,所以请使用特定的安全检测工具来过滤你的网站通信数据,并以此来保护你的网站不受勒索软件影响;		


相关新闻

大家都在学

课程详情

基于Docker三步搭建WordPress

课程详情

PHP反序列化漏洞实验

课程详情

软件安全之恶意代码机理与防护