Chcielibyśmy życzyć wszystkim wszystkiego najlepszego, powodzenia w biznesie jak i życiu osobistym w nadchodzącym Nowym Roku.

Oczywiście wam i sobie życzymy jak najmniej hackerów i prób włamań na wasze konta. Jakkolwiek nawet najserdeczniejsze życzenia nie obronią cię przed zaniechaniami w aktualizacji Twojego oprogramowania.

Lat temu kilka, włamywacze na strony WWW byli przeważnie tzw. script kiddies i robili to dla zabawy, w chwili obecnej dzieciaki dorosły i próbują niegdysiejsze młodzieńcze wybryki zamienić w sposób na życie.

W chwili obecnej większość włamań na dziurawe i dawno nie aktualizowane oprogramowanie klientów dokonywane jest z chęci zysku. Ostatnie miesiące roku 2015 doprowadziły e-szantaż do jednej z najczęstszych powodów ataków hackerskich.

Bitdefender informuje o masowym szantażu właścicieli stron WWW

Producent bardzo popularnego program antywirusowego poinformował w listopadzie o nowej masowej akcji, skierowanej na użytkowników Linuxów (a tym samym właścicieli stron WWW, ponieważ to właśnie na tym systemie jest hostowanych większość stron internetowych).

Sprawa zaczyna się dość niewinnie i standardowo, poprzez wykorzystanie (luki w popularnym oprogramowaniu)[wordpress], następnie jest wgrywany skrypt na Twój serwer, którego celem jest zakodowanie algorytmem RSA wszystkich zawartych plików na Twoim serwerze.

README_FOR_DECRYPT.txt

Jeżeli odnalazłeś taki plik na swoim serwerze, oznacza to że padłeś łupem robaka typu ransomware opisanego przez Bitdefendera, jeżeli nie jest on pusty to będziesz mógł zapoznać się z ofertą nie do odrzucenia: 

Your personal files are encrypted! Encryption was produced using a unique public key RSA-2048 generated for this computer.

To decrypt files you need to obtain the private key.

The single copy of the private key, which will allow to decrypt the files, located on a secret server at the Internet. After that, nobody and never will be able to restore files...

To obtain the private key and php script for this computer, which will automatically decrypt files, you need to pay 0.5 bitcoin(s) (~210 USD).
Without this key, you will never be able to get your original files back.


______________________________________________

!!!!!!!!!!!!!!!!!!!!! PURSE FOR PAYMENT(ALSO AUTHORIZATION CODE): [KOD] !!!!!!!!!!!!!!!!!!!!!
WEBSITE: [ADRES STRONY]

INSTRUCTION FOR DECRYPT:

After you made payment, you should go to website [ADRES STRONY
Use purse for payment as ur authorization code ([KOD]).
If you already did the payment, you will see decryption pack available for download,
inside decryption pack - key and script for decryption, so all what you need just upload and run that script 

Also, at this website you can communicate with our supports and we can help you if you have any troubles,
but hope you understand we will not answer at any messages if you not able to pay.

!!!P.S. Our system is fully automatic, after payment you will receive you're decrypt pack IMMEDIATELY!!!

FAQ:
Q: How can I pay?
A: We are accept only bitcoins.

Q: Where to buy bitcoins?
A: We can't help you to buy bitcoins, but you can check link below: https://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)

Q: I already bought bitcoins, where i should send it.
A: KOD]

Q: What gonna happen after payment?
A: Download button for decryption pack will be available after you made payment

Q: I pay, but still can't download decryption pack
A: You need to wait 3 confirmations for bitcoin transaction.

Q: How to use decryption pack?
A: Put all files from archive to your server and just run decrpyt.php (example: website.com/decrypt.php)

Q: Can I pay another currency?
A: No.

Po za samym plikiem README_FOR_DECRYPT.txt, na swoim serwerze możesz odnaleźć pliki zakończone nazwą *.encrypted - są to Twoje pliki w zakodowanej formie.

Jak leczyć

Laboratorium Bitdefendera opracowało „antybiotyk”, czyli dekoder zakodowanych plików, o którym można przeczytać na stronie:

Skorzystanie z dekodera Bitdefendera wymaga dostępu do powłoki shell (nie można wykonać tej operacji z poziomu FTP). Dlatego jeżeli nie jesteś właścicielem serwera dedykowanego, vps’a czy też innego hostingu z shellem - będziesz musiał poprosić o pomoc hostingodawcę.

Ważne jest aby nie modyfikować czasów dostępu zakodowanych plików, ponieważ jeśli dojdzie do tego - odkodowanie nie będzie możliwe.

Włamywacze oczywiście, pozostawiają jednak użytkownikowi kroplę nadziej w postaci informacji o tym jak odkodować pliki. Wystarczy, że poszkodowany wpłaci 200 - 500 dolarów (w bitcoinach) na podane konto. Jeżeli ktoś wierzy jednak, że włamywacze z jakiegoś powodu odkodują zawartość plików lub nie zrobią tego ponownie (po co rezygnować z dojnej krowy) to mam dla was nie zł wiadomość.

Wszystkie te włamania są dokonywane automatycznie, przez skrypty. Wielce prawdopodobne, że Twoje pliki zostały zakodowane wielokrotnie, a w takiej sytuacji - nawet jeśli liczymy na wielkoduszność włamywaczy - ich odkodowanie będzie niemożliwe (nie pomoże także antybiotyk Bitdefendera).

Jak zapobiegać

Często w naszych opisach skupiamy się na Wordpresie oraz Joomli - dwóch najpopularniejszych rozwiązaniach stosowanych na świecie. Pamiętaj, że bez względu na to z jakiej aplikacji korzystasz, należy zadbać o to aby:

  • korzystanie z usług z separacją na poziomie systemu operacyjnego (np. Hosting Dedykowany)
  • na bieżąco aktualizować swój skrypt
  • nie instalować bezpłatnych skórek dostępnych w sieci (często mają zaszytego konia trojańskiego)
  • nie instalować nieznanego pochodzenia dodatków i wtyczek (jw.).
  • wykonywać regularnie kopie bezpieczeństwa we własnym zakresie nadać odpowiednie uprawnienia chmod dla plików i folderów.

Chmod - zalecane uprawnienia

Postaraj się aby pliki z danymi wrażliwymi (np. plik konfiguracyjny), które nie są wywoływane bezpośrednio przez przeglądarkę posiadał jak najniższe uprawnienia.

  • dla plików, które muszą być dostępne z przeglądarki zalecamy 0644
  • dla plików z danymi wrażliwymi (zwierającymi hasła) np. configuraion.php, wp-config.php itp. zelecamy 0640
  • dla folderów z których chcemy aby był dostęp z przeglądarki (czyli w większości przypadków) proponujemy 0751
  • dla folderów z danymi, do których niema dostępu bezpośrednio z poziomu przeglądarki proponujemy 0750

Stosowanie przedstawionych chmodów spowoduje, że w przypadku hostit.pl, nawet jeśli użytkownik innego konta wydostanie się z sandboxa nie uzyska możliwości modyfikacji Twoich plików.