r   e   k   l   a   m   a
r   e   k   l   a   m   a

Już nie tylko Windows: ransomware szyfruje dane na linuksowych serwerach

Strona główna AktualnościBEZPIECZEŃSTWO

Dopiero co informowaliśmy o Chimerze, nowym szkodniku, który po zaszyfrowaniu dokumentów użytkowników systemów Windows obiecuje, że jeśli nie zapłacą okupu w bitcoinach, to nie tylko stracą szansę na odszyfrowanie swoich danych, ale też muszą się liczyć z tym, że ich dokumenty zostaną upublicznione. Teraz rosyjska firma Dr.Web informuje o nowym szkodniku typu ransomware, który na swój cel bierze linuksowe serwery, najprawdopodobniej próbując zainfekować je zdalnie przez otwarty port SSH, w nadziei trafienia na słabe hasło.

Atak nie odbiega od utartego schematu. Napisany w C robak, który otrzymał już nazwę Linux.Encoder.1 (notabene działa też na FreeBSD), po uruchomieniu umieszcza w katalogu użytkownika pliki zawierające żądania cyberprzestępców. Po ich odczytaniu, robak uruchamia systemowego demona i usuwa swój oryginalny plik, a następnie zaczyna szyfrować zawartość dokumentów z rozszerzeniami takimi jak .php, .html, .tgz, .jar, .java, .ruby, .jpg, .docx, .exe, .psd (i wieloma innymi), wykorzystując publiczny klucz RSA.

By przyspieszyć swoje działanie, na początku szkodnik szyfruje pliki w katalogach /home, /root, /var/lib/mysql, /var/www, /etc/nginx, /etc/apache2 i /var/log, a gdy zakończy swoją pracę, rekursywnie przechodzi przez system plików, od katalogu z którego został uruchomiony, wyszukując katalogi, których nazwy zaczynają się od ciągów takich jak public_html, www, webapp, backup, .git czy .svn i szyfrując to, co tam znajdzie.

r   e   k   l   a   m   a

Wszystkie pliki są szyfrowane za pomocą 128-bitowego szyfru AES z osobnymi kluczami dla każdego z nich, i otrzymują rozszerzenie .encrypted. Dr.Web przetestował procedurę deszyfrowania i na tej podstawie ustalił, że po jej rozpoczęciu, szkodnik wykorzystuje otrzymany prywatny klucz RSA do wydobycia kluczy AES i deszyfruje pliki .encrypted w takiej kolejności, w jakiej zostały utworzone.

Żądania napastników nie są wygórowane, domagają się za klucz prywatny RSA „zaledwie” 1 bitcoina. Dr.Web twierdzi, że pracuje nad metodą pozwalając odszyfrować dane zaszyfrowane przez złośliwe oprogramowanie, ale szczerze mówiąc wydaje się to mało realne – jeśli rosyjska firma zdołałaby złamać RSA, to konsekwencje tego byłyby daleko bardziej dramatyczne, niż popsucie biznesu twórców ransomware.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.