Ransomware szyfrujące pliki zagraża użytkownikom Linuxa [ aktualizacja ]

10 listopada 2015

Doctor Web ostrzega użytkowników przed nowym ransomware szyfrującym pliki wymierzonym w systemy operacyjne Linux. Na podstawie katalogów, w których trojan szyfruje pliki, można wywnioskować że głównym celem cyberprzestępców są administratorzy serwisów, których maszyny posiadają uruchomione na nich serwery www. Analitycy bezpieczeństwa Doctor Web przypuszczają, że co najmniej dziesiątki użytkowników stało się już ofiarami tego trojana.

Uruchomiony, z uprawnieniami administratora, trojan nazwany Linux.Encoder.1 pobiera pliki zawierające żądania cyberprzestępców i plik ze ścieżką do publicznego klucza RSA. W kolejnym kroku złośliwy program uruchamia się jako demon i usuwa oryginalne pliki. Następnie używany jest klucz RSA w celu zapisania kluczy AES, które będą użyte przez trojana do zaszyfrowania plików na zainfekowanym komputerze.

Najpierw Linux.Encoder.1 szyfruje wszystkie pliki w katalogach domowych i katalogach powiązanych z administracją strony www. Następnie trojan rekurencyjnie analizuje cały system plików zaczynając od katalogu, w którym został uruchomiony; a następnie rozpoczynając od katalogu głównego (root – “/”). Co więcej, trojan szyfruje tylko pliki o określonych rozszerzeniach i tylko, jeśli nazwa katalogu zaczyna się jednym z ciągów znaków wskazanych przez cyberprzestępców.

Zaatakowane pliki są uzupełniane przez malware o rozszerzenie .encrypted. W każdym katalogu zawierającym zaszyfrowane pliki, trojan osadza plik z żądaniem okupu. Aby móc odszyfrować swoje pliki, ofiara musi zapłacić okup w elektronicznej walucie Bitcoin.

Doctor Web zaleca użytkownikom, których pliki zostały zaszyfrowane, skontaktowanie się ze wsparciem technicznym, podając szczegółową informację o incydencie i wysyłając kilka przykładów zaszyfrowanych plików. Aby można było odszyfrować takie pliki bardzo ważne jest to, aby użytkownik nie modyfikował i/lub nie kasował ich — w przeciwnym razie zaszyfrowane dane mogą być bezpowrotnie utracone.

źródło: Doctor Web

Aktualizacja 11.11.2015

Analitycy malware z firmy Bitdefender już opracowali narzędzie do odzyskania plików po ich zaszyfrowaniu przez Linux.Encoder.1
Szczegóły dostępne są na stronie: http://labs.bitdefender.com/2015/11/linux-ransomware-debut-fails-on-predictable-encryption-key/

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
Podaj porawny e-mail, aby dostać powiadomienie o odpowiedzi na Twój post.
0 komentarzy
Inline Feedbacks
View all comments

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

ankieta

Czy w Twojej firmie używa się dwuskładnikowego logowania?
GŁOSUJ

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

ankieta

Czy w Twojej firmie używa się dwuskładnikowego logowania?
GŁOSUJ