Een relatief nieuw fenomeen is Ransomware. Letterlijk, uw site wordt gegijzeld en wordt pas vrijgegeven als een bedrag is overgemaakt. Ik kende het woord, maar gisteren zag ik het voor het eerst op een site die ik moest “repareren” voor iemand. Vandaar dit artikeltje.

Hoe kun je ransomware herkennen ?

Als je naar een site gaat en je komt op een andere site uit of je krijgt foutmeldingen dan KAN de site “gegijzeld” zijn. Als dat zo is ga je met een FTP programma naar de hoofddirectory van de site.
(Misschien eerst scannen naar andere oorzaken met Sucuri ?)

Daar zie je een aantal mogelijke wijzigingen:
De index.php is veranderd in index.php.encrypted
Er is een nieuwe folder .protect
Er staat een bestand dat heet README_FOR_DECRYPT.txt

screen-van-ftp-van-een-site-met-ransomware

Er kunnen meer dingen staan maar in ieder geval deze.

Het README_FOR_DECRYPT.txt bestand is de meest interessante. Hierin staat een “onion” adres. Een website dat je via het TOR netwerk moet benaderen. Op het zogenaamde Darkweb dus.
Ook vind je instructies hoeveel je zou moeten betalen en naar welk Bitcoin adres. Ware het niet razend irritant, tijdrovend en soms zelfs kostbaar dan zou ik bijna bewondering hebben hoe waterdicht men dit staaltje “website gijzelen” uitvoert. Noch de bitcoins, noch een site op het Darkweb zijn te traceren naar de echte eigenaar.

In de tekst die ik vond staat het bedrag op 0,15 bitcoins, ca 50 dollar. Al speurende naar een oplossing zag ik dat recent een ziekenhuis 17.000 dollar moest betalen.

Hoe is mijn site gehackt?

De site is geheel gecodeerd, encrypted. Om nu de site terug te krijgen moet dus alles weer ontcijferd worden. Terug naar de oude staat. En de sleutel voor deze decryptie kun je kopen.

Hoe komt aan deze ransomware ?

Op Darkweb zijn toolkits te koop die dit kunnen. De prijs heb ik niet kunnen achterhalen. Uit diverse bronnen op het internet komt steeds weer naar voren dat er 3 aanwijsbare oorzaken zijn:

1) Fouten, zwakke plekken in het besturingssysteem van de hosting server.
Hier kan de gemiddelde gebruiker alleen maar hopen dat zijn hoster het goed heeft dichtgespijkerd.
(zie opmerking 1 geheel onder aan dit artikel)

2) Zwakke wachtwoorden bij de login van WordPress.
Wordpress geeft bij installatie aan of uw wachtwoord zwak, middelmatig of sterk is. Mijn advies is: zo moeilijk mogelijk ! Met brute force (net zo lang geautomatiseerd proberen totdat je het juiste wachtwoord raadt) is de meest voorkomende aanval op WordPress sites. Schrijf het op een papiertje, leg het naast de computer en typ het over. Het argument “maar die kan ik niet onthouden” mag hier niet meespelen ! Het kleine ongemak om even een wachtwoord over te typen staat in geen enkele verhouding tot het geld en tijd die er nodig is om uw site weer op te bouwen.

3) Slecht geschreven plugins.
Zwakke veiligheid van plugins is ook een mogelijke oorzaak. Gebruik dan ook zo min mogelijk plugins. Maak van je WordPress site geen kerstboom. De plugins die je echt nodig hebt zou je ook moeten beoordelen op hun veiligheid. Ik zou daar ten eerste voor aanhouden “wanneer is deze voor het laatst ge-update”? (wordt hij onderhouden ?) Dat zou een indicatie kunnen zijn dat de schrijver van de plugin de vulnarabilties (veilgheids risico’s) bijhoudt en steeds bijwerkt.
Een betere methode is kijken naar de database die bestaat van Plugins met een vulnarabilty. U vindt deze hier.

Samengevat

Dit is een heel moeilijk te repareren aanval. Wie heeft nu TOR op zijn PC ? Wie heeft er een bitcoin wallet ? (ALS je al wilt betalen) Zo niet dan zijn er alleen op radicale oplossingen (lees: account op server wissen en geheel opnieuw opbouwen). De hoster (een bekende prijsvechter) van degene die ik moest helpen KON niet eens de .protect uitwissen!!!

Is paniek nu gerechtvaardigd ? Nee. Alhoewel ik er vrijwel zeker van ben dat dit vaker gaat voorkomen is WordPress niet onveilig te noemen. Zwakke wachtwoorden, ongeteste plugins en goedkope hosters wel. Aangezien er wel decryptors zijn, maar die draaien OP de server zelf is dit een taak voor de hosters.