Już nie tylko Windows: ransomware szyfruje dane na linuksowych serwerach
Dopiero co informowaliśmy o Chimerze, nowym szkodniku, który pozaszyfrowaniu dokumentów użytkowników systemów Windows obiecuje,że jeśli nie zapłacą okupu w bitcoinach, to nie tylko stracąszansę na odszyfrowanie swoich danych, ale też muszą się liczyćz tym, że ich dokumenty zostaną upublicznione. Teraz rosyjska firmaDr.Web informuje o nowym szkodniku typu ransomware, który na swójcel bierze linuksowe serwery, najprawdopodobniej próbujączainfekować je zdalnie przez otwarty port SSH, w nadziei trafieniana słabe hasło.
Atak nie odbiegaod utartego schematu. Napisany w C robak, który otrzymał już nazwęLinux.Encoder.1 (notabene działa też na FreeBSD), po uruchomieniuumieszcza w katalogu użytkownika pliki zawierające żądaniacyberprzestępców. Po ich odczytaniu, robak uruchamia systemowegodemona i usuwa swój oryginalny plik, a następnie zaczyna szyfrowaćzawartość dokumentów z rozszerzeniami takimi jak .php, .html,.tgz, .jar, .java, .ruby, .jpg, .docx, .exe, .psd (i wieloma innymi),wykorzystując publiczny klucz RSA.
By przyspieszyć swoje działanie, na początku szkodnik szyfrujepliki w katalogach /home, /root, /var/lib/mysql, /var/www,/etc/nginx, /etc/apache2 i /var/log, a gdy zakończy swoją pracę,rekursywnie przechodzi przez system plików, od katalogu z któregozostał uruchomiony, wyszukując katalogi, których nazwy zaczynająsię od ciągów takich jak public_html, www, webapp, backup, .gitczy .svn i szyfrując to, co tam znajdzie.
Wszystkie pliki są szyfrowane za pomocą 128-bitowego szyfru AESz osobnymi kluczami dla każdego z nich, i otrzymują rozszerzenie.encrypted. Dr.Web przetestował procedurę deszyfrowania i na tejpodstawie ustalił, że po jej rozpoczęciu, szkodnik wykorzystujeotrzymany prywatny klucz RSA do wydobycia kluczy AES i deszyfrujepliki .encrypted w takiej kolejności, w jakiej zostały utworzone.
Żądania napastników nie są wygórowane, domagają się zaklucz prywatny RSA „zaledwie” 1 bitcoina. Dr.Web twierdzi, żepracuje nad metodą pozwalając odszyfrować dane zaszyfrowane przezzłośliwe oprogramowanie, ale szczerze mówiąc wydaje się to małorealne – jeśli rosyjska firma zdołałaby złamać RSA, tokonsekwencje tego byłyby daleko bardziej dramatyczne, niż popsuciebiznesu twórców ransomware.
