數(shù)百個(gè)WordPress網(wǎng)站都被貼上了假的黑底紅字的警告，警告它們已被加密。

　　這些警告中的贖金要求帶有倒數(shù)計(jì)時(shí)器，以引起緊迫感，試圖使網(wǎng)絡(luò)管理員在驚慌中迅速支付贖金：倒計(jì)時(shí)時(shí)鐘滴答作響，警告網(wǎng)站所有者他們有7天10小時(shí)21分9秒來(lái)支付 0.1比特幣–在這個(gè)帖子發(fā)布時(shí)價(jià)值大約6,000美元–在文件被加密并在無(wú)法恢復(fù)之前。

　　對(duì)于開(kāi)源內(nèi)容管理系統(tǒng)（CMS）的任何小型用戶來(lái)說(shuō)，這都是一筆很大的費(fèi)用：“至少可以說(shuō)，對(duì)于普通的網(wǎng)站所有者來(lái)說(shuō)，這不是一筆小的數(shù)目?！盨ucuri安全分析師Ben Martin在周二的一篇文章中寫(xiě)道。

　　Sucuri在周五首次注意到這些宛如吸血鬼電影中的場(chǎng)景一樣的黑底紅字警告。它一開(kāi)始增加得非常緩慢，然后速度逐漸開(kāi)始增長(zhǎng)：上周在Google搜索時(shí)只找到了六條贖金要求的結(jié)果——“FOR RESTORE SEND 0.1 BITCOIN”。當(dāng)網(wǎng)站安全服務(wù)提供商周二報(bào)告其調(diào)查結(jié)果時(shí)，點(diǎn)擊次數(shù)已經(jīng)高達(dá)291次。

　　尖利的、宛如用鮮血書(shū)寫(xiě)的、全大寫(xiě)的消息：

　　發(fā)送0.1比特幣以恢復(fù)加密的站點(diǎn)：[地址已編輯]

　　（在站點(diǎn)/unlock.txt上創(chuàng)建包含交易密鑰的文件）

　　幸運(yùn)的是，在支付高額的比特幣之前，至少有一位網(wǎng)站管理員向Sucuri報(bào)告了“勒索軟件”警告。

　　滴答，滴答……

　　該警告顯然是在通過(guò)倒計(jì)時(shí)來(lái)灌輸緊迫感，進(jìn)而成功的刺激受害者的腎上腺素飆升。無(wú)論是在羅曼蒂克式愛(ài)情詐騙手段、用于提升憑證的虛假亞馬遜包裹遞送通知還是其他諸如此類的騙局，它們都是騙子工具包中最常用和最有效的工具。

　　但是Sucuri的研究人員追蹤并分析了這些假勒索軟件，他們聲稱什么也沒(méi)發(fā)現(xiàn)。在對(duì)包含比特幣地址的文件進(jìn)行現(xiàn)場(chǎng)掃描時(shí)，他們發(fā)現(xiàn)虛假勒索軟件警報(bào)只是一個(gè)由虛假插件生成的簡(jiǎn)單HTML頁(yè)面“。/wp-content/plugins/directorist/directorist-base./wp-content/plugins/directorist/directorist-base. php”。

　　他們分享了一個(gè)屏幕截圖，如下所示，顯示了用于生成贖金消息的“非?；镜腍TML”：

　　至于倒數(shù)計(jì)時(shí)器，它是由基本的PHP生成的，如下所示。Martin寫(xiě)道，可以編輯日期“以在請(qǐng)求中注入更多恐慌”?！罢?qǐng)記住，關(guān)于網(wǎng)絡(luò)釣魚(yú)等網(wǎng)絡(luò)詐騙的第一條規(guī)則是向受害者灌輸緊迫感！”

　　清除感染

　　消除感染很容易：“我們所要做的就是從wp-content/plugins目錄中刪除插件，”Martin說(shuō)。然而，一旦他們返回主網(wǎng)站頁(yè)面，研究人員發(fā)現(xiàn)該網(wǎng)站的所有頁(yè)面和帖子都會(huì)導(dǎo)致“404 Not Found”消息。

　　根據(jù)Sucuri的帖子，它包含一個(gè)基本的SQL命令，可以找到任何狀態(tài)為“publish”的帖子和頁(yè)面，并將它們更改為“null”。這些內(nèi)容仍然在數(shù)據(jù)庫(kù)中，但無(wú)法查看。

　　同樣地，撤消很容易：“這可以用同樣簡(jiǎn)單的SQL命令來(lái)逆轉(zhuǎn)，”Sucuri說(shuō)。即：

　　UPDATE `wp_posts` SET `post_status` = 'publish' WHERE `post_status` = 'null‘；

　　“這將公開(kāi)數(shù)據(jù)庫(kù)中標(biāo)記為null的任何內(nèi)容?！盡artin寫(xiě)道?！叭绻鷮⑵渌麅?nèi)容標(biāo)記為此類，它會(huì)重新發(fā)布該內(nèi)容，但這肯定比丟失所有網(wǎng)站帖子和頁(yè)面要好?！?/p>

　　Sucuri指出，惡意插件確實(shí)有一個(gè)文件。/wp-content/plugins/directorist/azz_encrypt.php，看起來(lái)它可能用于文件加密，但研究人員沒(méi)有在他們分析的任何感染中看到該文件，至少目前還沒(méi)有。

　　是誰(shuí)實(shí)施了此次攻擊？

　　Sucuri的客戶端位于美國(guó)南部，但其站點(diǎn)的訪問(wèn)日志顯示，來(lái)自一個(gè)外國(guó)IP地址的多個(gè)請(qǐng)求使用wp-admin的插件編輯器功能與惡意插件交互?！斑@表明合法插件已經(jīng)安裝在網(wǎng)站上，后來(lái)被攻擊者篡改，”Sucuri說(shuō)。

　　“有趣的是，我們從攻擊者IP地址看到的第一個(gè)請(qǐng)求來(lái)自wp-admin面板，這表明他們?cè)陂_(kāi)始之前就已經(jīng)建立了對(duì)網(wǎng)站的管理員訪問(wèn)權(quán)限，”馬丁說(shuō)?！八麄兪欠袷褂昧硪粋€(gè)IP地址強(qiáng)行輸入了管理員密碼，或者是從黑市獲得了已經(jīng)泄露的登錄信息，這誰(shuí)也說(shuō)不準(zhǔn)?！?/p>

　　當(dāng)恐懼產(chǎn)生作用，誰(shuí)還會(huì)在意勒索軟件？

　　您可以看到它的特點(diǎn)，即：跳過(guò)創(chuàng)建真實(shí)、實(shí)時(shí)勒索軟件的棘手任務(wù)，直接戳中您內(nèi)心的恐懼。Stealthbits-現(xiàn)在是Netwrix的一部分-的技術(shù)產(chǎn)品經(jīng)理Dan Piazza告訴Threatpost，在真實(shí)勒索軟件攻擊逐年增加之后，虛假勒索軟件攻擊的出現(xiàn)并不奇怪，“特別是考慮到這些虛假攻擊非常簡(jiǎn)便省事，”他說(shuō)，“技術(shù)水平較低的攻擊者可以利用對(duì)勒索軟件日益增長(zhǎng)的恐懼，并試圖通過(guò)簡(jiǎn)單的黑客攻擊而不是開(kāi)發(fā)完善且復(fù)雜的勒索軟件獲利。”

　　Blue Hexagon的首席技術(shù)官兼聯(lián)合創(chuàng)始人Saumitra Das稱這是一種對(duì)勒索受害者的有趣常識(shí)——“對(duì)于害怕失去業(yè)務(wù)的網(wǎng)站所有者來(lái)說(shuō)，這可能會(huì)成功”。

　　“鑒于備份技術(shù)及其采用在過(guò)去幾年中有所改善，勒索軟件參與者正在勒索而不是加密方面進(jìn)行創(chuàng)新，”Das指出，“這只是勒索創(chuàng)新的另一個(gè)例子。攻擊者不僅在加密，而且還在點(diǎn)名羞辱品牌、泄露數(shù)據(jù)、威脅高管和用戶。”

　　即使是虛假勒索軟件也顯示出一些漏洞

　　Piazza告訴Threatpost，這次攻擊是假的這件事本身并不重要。事實(shí)是，這些WordPress網(wǎng)站確實(shí)是通過(guò)其最有特權(quán)的攻擊點(diǎn)——“a WordPress Admin”而遭到入侵，他通過(guò)電子郵件說(shuō)。

　　“如果攻擊者想要部署真正的勒索軟件，那么他們實(shí)際上已經(jīng)掌握了進(jìn)入王國(guó)的鑰匙，”P(pán)iazza說(shuō)。

　　為了對(duì)真正的勒索軟件保持警惕，Piazza建議管理員確保他們的站點(diǎn)運(yùn)行CMS、使用的任何插件以及他們?cè)谠创a中實(shí)現(xiàn)的任何庫(kù)或框架都是最新的版本。

　　“修補(bǔ)過(guò)的0day漏洞仍然是攻擊者的一大目標(biāo)，因?yàn)樵S多網(wǎng)站仍然使用舊版本的軟件，”他指出。

　　“訪問(wèn)管理也是必不可少的，以限制特權(quán)管理員的數(shù)量甚至這些管理員的生命周期，”P(pán)iazza繼續(xù)說(shuō)道?！疤貦?quán)訪問(wèn)管理軟件可以在這里提供幫助，通過(guò)提供即時(shí)權(quán)限甚至僅在需要時(shí)才存在的管理員帳戶。”

　　他說(shuō)，定時(shí)備份也是必須的?！叭绻麄浞菖c網(wǎng)站服務(wù)器完全分開(kāi)存儲(chǔ)，那么在受到攻擊時(shí)很容易恢復(fù)并運(yùn)行?！?/p>

　　他還建議對(duì)所有特權(quán)憑據(jù)使用多因素身份驗(yàn)證（MFA），并指出Microsoft的一份報(bào)告稱，MFA可以阻止超過(guò)99.9%的帳戶入侵攻擊。