Новый шифровальщик EV ransomware атакует сайты на WordPress

Новый шифровальщик EV ransomware атакует сайты на WordPress

Новый шифровальщик EV ransomware атакует сайты на WordPress

Исследователями в области безопасности Wordfence были отмечены попытки злоумышленников использовать вымогатель, позволяющий им шифровать файлы сайтов на WordPress.

Вымогатель получил имя EV ransomware, его особенностью является добавление расширения .ev к зашифрованным файлам.

Возможность загрузить вымогатель появляется у злоумышленника после того, как ему удастся скомпрометировать веб-сайт, использующий движок WordPress. Злоумышленник начинает процесс шифрования из интерфейса, после выбора сложного ключа и нажатия кнопки «Отправить» («Submit»).

EV ransomware шифрует большинство файлов, но удивительно, что некоторые оставляет незашифрованными.

«В процессе шифрования используются функции mcrypt, а используемым алгоритмом шифрования является Rijndael 128. Используемый ключ представляет собой хэш SHA-256» - утверждает команда Wordfence.

Для владельцев веб-сайтов, пострадавших от этого шифровальщика будет полезно знать, что расшифровать файлы будет не так просто, даже при условии заплаченного выкупа и полученного от злоумышленника ключа.

«Этот вымогатель позволяет злоумышленникам шифровать файлы на сайте, но не предоставляет никакого вменяемого механизма дешифровки. Если вы пострадали от действий EV ransomware, не рекомендуется платить киберпреступникам, так как маловероятно, что они помогут вам расшифровать файлы. Вам может понадобится опытный PHP-разработчик» - добавляют исследователи.

Согласно исследователям, образцы этого вымогателя были обнаружены на GitHub, некоторые из них датируются маем 2016 года. Учетная запись, опубликовавшая эти образцы, указывает на хакерскую группу из Индонезии.

Эксперты утверждают, что на данный момент шифровальщик далек от совершенства по части разработки, однако он и в таком виде позволяет киберпреступникам зарабатывать деньги.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники крадут товары, выдавая себя за ПСК и Ozon

Злоумышленники под видом известных компаний совершили серию крупных краж, оформив закупки с помощью поддельных документов и используя подмену номеров телефонов. Аферисты выдавали себя за представителей легитимных организаций, предъявляли доверенности и добивались отгрузки товара. Используемые ими документы были высокого качества и не вызывали подозрений даже у опытных сотрудников.

Как сообщила «Фонтанка», мошенники оформили несколько крупных заказов от имени Петербургской сбытовой компании (ПСК). В частности, под видом сотрудников ПСК были приобретены 130 комплектов автомобильных шин и 20 тонн сливочного масла.

В обоих случаях за товаром приезжал якобы представитель ПСК и предъявлял доверенности на получение груза. Однако позже выяснилось, что ни почта, ни телефон, ни фамилия человека, забиравшего продукцию, не имели отношения к компании.

Номер телефона, с которого связывались аферисты, в приложении Getcontact отображался как принадлежащий ПСК. Поддельные документы были выполнены на высоком уровне: в случае с «покупкой» масла мошенники даже приложили протокол разногласий к договору, где указали неустойки за нарушение условий хранения продукции.

Между тем ещё в апреле на официальном сайте ПСК появилось предупреждение: «Информируем о новой мошеннической схеме. В адрес юридических лиц поступают письма об организации закупок от имени Петербургской сбытовой компании. Письма направляются с подложного почтового адреса: zakaz.pesc-opt.ru с указанием номеров телефонов, не принадлежащих Петербургской сбытовой компании».

ПСК — не единственная пострадавшая организация. Подобные случаи неоднократно фиксировались в отношении Ozon: от его имени злоумышленники вывозили компьютеры, промышленные пылесосы и стройматериалы в разных регионах страны. При этом также использовались поддельные документы и подменённые номера телефонов.

«Мы знаем о ситуации, при которой некие сторонние лица, представляясь компанией Ozon, обращаются к поставщикам с просьбой предоставить самые разные товары, в том числе с постоплатой, — сообщили изданию в пресс-службе маркетплейса. — Часто мошенники используют схожие по написанию домены и формируют письма-запросы на бланках с логотипом Ozon».

По данным «Фонтанки», на момент публикации ни одной из пострадавших компаний не удалось вернуть ни деньги, ни украденный товар.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru