Przejdź na

Już nie tylko Windows: ransomware szyfruje dane na linuksowych serwerach

Dopiero co informowaliśmy o Chimerze, nowym szkodniku, który pozaszyfrowaniu dokumentów użytkowników systemów Windows obiecuje,że jeśli nie zapłacą okupu w bitcoinach, to nie tylko stracąszansę na odszyfrowanie swoich danych, ale też muszą się liczyćz tym, że ich dokumenty zostaną upublicznione. Teraz rosyjska firmaDr.Web informuje o nowym szkodniku typu ransomware, który na swójcel bierze linuksowe serwery, najprawdopodobniej próbujączainfekować je zdalnie przez otwarty port SSH, w nadziei trafieniana słabe hasło.

Obraz
Adam Golański

Atak nie odbiegaod utartego schematu. Napisany w C robak, który otrzymał już nazwęLinux.Encoder.1 (notabene działa też na FreeBSD), po uruchomieniuumieszcza w katalogu użytkownika pliki zawierające żądaniacyberprzestępców. Po ich odczytaniu, robak uruchamia systemowegodemona i usuwa swój oryginalny plik, a następnie zaczyna szyfrowaćzawartość dokumentów z rozszerzeniami takimi jak .php, .html,.tgz, .jar, .java, .ruby, .jpg, .docx, .exe, .psd (i wieloma innymi),wykorzystując publiczny klucz RSA.

By przyspieszyć swoje działanie, na początku szkodnik szyfrujepliki w katalogach /home, /root, /var/lib/mysql, /var/www,/etc/nginx, /etc/apache2 i /var/log, a gdy zakończy swoją pracę,rekursywnie przechodzi przez system plików, od katalogu z któregozostał uruchomiony, wyszukując katalogi, których nazwy zaczynająsię od ciągów takich jak public_html, www, webapp, backup, .gitczy .svn i szyfrując to, co tam znajdzie.

Wszystkie pliki są szyfrowane za pomocą 128-bitowego szyfru AESz osobnymi kluczami dla każdego z nich, i otrzymują rozszerzenie.encrypted. Dr.Web przetestował procedurę deszyfrowania i na tejpodstawie ustalił, że po jej rozpoczęciu, szkodnik wykorzystujeotrzymany prywatny klucz RSA do wydobycia kluczy AES i deszyfrujepliki .encrypted w takiej kolejności, w jakiej zostały utworzone.

Żądania napastników nie są wygórowane, domagają się zaklucz prywatny RSA „zaledwie” 1 bitcoina. Dr.Web twierdzi, żepracuje nad metodą pozwalając odszyfrować dane zaszyfrowane przezzłośliwe oprogramowanie, ale szczerze mówiąc wydaje się to małorealne – jeśli rosyjska firma zdołałaby złamać RSA, tokonsekwencje tego byłyby daleko bardziej dramatyczne, niż popsuciebiznesu twórców ransomware.

Źródło artykułu: www.dobreprogramy.pl
Wybrane dla Ciebie
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Fałszywy SMS. Oszuści podszywają się pod ZUS
Fałszywy SMS. Oszuści podszywają się pod ZUS
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
Nowości w mObywatelu. Dodano trzy funkcje
Nowości w mObywatelu. Dodano trzy funkcje
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Atak hakerski na Booking. Zdobyli dane klientów
Atak hakerski na Booking. Zdobyli dane klientów
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Zaktualizuj Windowsa: wydano kwietniowe poprawki
Zaktualizuj Windowsa: wydano kwietniowe poprawki
ZATRZYMAJ SIĘ NA CHWILĘ… TE ARTYKUŁY WARTO PRZECZYTAĆ 👀