Ransomware es uno de los tipos más graves de Bitcoin. Al igual que cualquier rescate, nunca se puede estar seguro de que permanecen fieles a su palabra, o en lugar continúan exigiendo más dinero.

Infecciones ransomware comenzaron a aparecer en 2013 y han sido constantemente en aumento desde entonces. Hoy en día es una de las amenazas en línea más penetrantes que los s de Internet y las empresas se enfrentan. Tradicionalmente, ransomware sólo ha afectado a las computadoras personales y el malware a menudo se distribuye a través de sitios web hackeados.

En los últimos meses se ha producido un nuevo desarrollo con ataques ransomware: Han comenzado a infectar a los sitios web a sí mismos.

A diferencia del rescate DDoS BitCoin que escribió acerca de hace poco, estos ataques infectan y se cifran los archivos del sitio web y luego exigir el pago. Los archivos en el servidor y se puede acceder a la página principal ha sido borrado con una advertencia de que el sitio web ha sido rehén.

El malware fue descubierto por primera vez en noviembre pasado por la compañía de seguridad rusa Dr.Web. Como era de esperar, las vulnerabilidades de software obsoleto parecen ser el principal método de distribución. Recuerde que los es de web: actualización, la actualización actualización!

Por lo general, los sitios web se utilizan para difundir ransomware basado en PC; visitando el sitio web infectados lanzará la carga útil en la máquina del final, el cifrado de sus contenidos. A principios de este año, se documentó una campaña generalizada de que son sitios de WordPress que redirigen a los visitantes para explotar los kits de distribución de ransomware. También se distribuye comúnmente a través de estafas de soporte técnico y correos electrónicos falsos, pero los es de sitios web ahora que hemos visto son víctimas también. Magento sitios de comercio electrónico parece ser un gran objetivo de esta nueva página web ransomware, pero no es de ninguna manera se limita a ellos.

Una vez que los atacantes tengan a su servidor, que cifrar todos los archivos del sitio usando AES y anexar .encrypted al nombre del archivo haciéndolos inútiles:

Ransomware infectado el sistema de archivos sitio web utilizando la extensión de archivo .encrypted

Inicialmente había un defecto en la forma en que se cifran los archivos. Utilizando un método inteligente de la clave AES podría ser adivinado utilizando la última fecha de marca de hora / modificados en los archivos y una serie de sitios web fueron capaces de revertir el daño y salvar sus datos.

No es sorprendente que los atacantes se enteraron de su defecto de diseño. Muy recientemente, hemos visto casos en los que algunas de las marcas de tiempo han sido revueltos intencionalmente por los atacantes, haciendo así todo el proceso de descifrado inútil. En estos casos, sin una copia de seguridad utilizable, puede que te encuentres tener que reconstruir todo su sitio web (a menos que usted quiere tomar el riesgo de pagar la tarifa de rescate que yo no aconsejaría).

Peor aún, este malware (como cualquier otro) puede extenderse a otros sitios web en el mismo entorno de alojamiento a través de la contaminación cruzada que hacen una mala situación mucho peor. Recuerde: Compartimentar sus sitios de manera que cuando ocurre un desastre, al menos, el problema estarán contenidos!

Si encuentra que su sitio web ha sido infectado con este malware, lo mejor es volver a una copia de seguridad reciente, cambiar todas las credenciales de y actualizar todo el software. Casos como éste son un excelente ejemplo de por qué tener una estrategia de copia de seguridad de sonido es imperativo para todos los propietarios de sitios web. Si aún no dispone de un servicio de copia de seguridad o de un proveedor de hosting que lo hace por usted. Si eres un de servidor, también podría considerar la implementación de un vivo volumen de sombra , que es algo así como una configuración RAID.

Afortunadamente, este ransomware parece estar limitado a, los archivos de página web y no parece afectar a las bases de datos. Si usted se encuentra la reconstrucción de su sitio en la estela de un ataque de ese tipo, entonces puede intentar exportar e importar la base de datos a un nuevo entorno, seguro / alojamiento limpio y la sustitución de todos los archivos del sitio con copias nuevas. Eso debería dejar todas sus entradas / contenido en el tacto, pero no se olvide de cambiar sus contraseñas cuando se hace esto!

Para ayudar a evitar este tipo de infecciones en su sitio web, le recomiendo poner su sitio detrás de un cortafuegos página web para prevenir los ataques antes de que lleguen a su servidor. Lo recomendaría este sobre todo si está atrapado usando un viejo, fuera de fecha CMS o no me siento cómodo actualizar usted mismo.