Na początku listopada 2015 Doctor Web informował o wykryciu niebezpiecznego ransomware dla systemów operacyjnych Linux. Artykuł skupiający się nad tym problemem był szeroko dyskutowany w mediach. Dziś chcemy szerzej opisać trojana Linux.Encoder.1.

Cyberprzestępcy dystrybuujący Linux.Encoder.1 biorą głównie za cel strony www uruchomione na serwerach z systemem Linux i stworzone z użyciem różnych systemów zarządzania treścią (CMS), na przykład z użyciem systemu WordPress i systemów zarządzania sklepami online, takimi jak Magento. Aby przeprowadzić ataki, twórcy wirusów wykorzystują niezidentyfikowane podatności tych środowisk.

Gdy cyberprzestępcy zdołają uzyskać dostęp do strony www, osadzany jest na niej plik error.php (dla Magento jest on umieszczany w katalogu systemowym /skin/). Ten plik działa jako skrypt powłoki, pozwalający cyberprzestępcom na wykonywanie innych nielegalnych działań, w szczególności tych inicjowanych przez wysyłanie różnych komend. Korzystając ze skryptu, hakerzy mogą osadzić na serwerze plik 404.php, będący w rzeczywistości programem typu dropper dla wirusa Linux.Encoder.1. Przypuszcza się, że po otrzymaniu polecenia od cyberprzestępców wydanego poprzez odwołanie się do pliku PHP po wprowadzeniu stosownego adresu w pasku adresowym przeglądarki, dropper identyfikuje architekturę systemu operacyjnego (32 lub 64 bity), wypakowuje ze swojego kodu odpowiednią próbkę ransomware szyfrującego pliki, uruchamia ją, a następnie inicjuje swoje własne usunięcie.

Około 2000 stron www zostało zaatakowanych przez Linux.Encoder.1
Gdy Linux.Encoder.1 zostanie uruchomiony z uprawnieniami konta www-data (co oznacza, że uruchamia się z tymi samymi uprawnieniami, jak sam serwer Apache), te uprawnienia są wystarczające do zaszyfrowania wszystkich plików w katalogach, dla których ten szczególny użytkownik posiada prawa do zapisu, innymi słowy, w katalogach z plikami i komponentami systemu CMS. Jeśli trojan uzyska wyższe uprawnienia, jego złośliwe działania nie będą ograniczone tylko do katalogów serwera www. Następnie złośliwy program zapisuje na dysku serwera plik README_FOR_DECRYPT.txt, zawierający instrukcje odszyfrowania plików i żądania cyberprzestępców. Sądząc po wynikach wyszukiwania pozyskanych z użyciem zapytania Google, do 12 listopada 2015 około 2000 stron www zostało zaatakowanych przez wirusa Linux.Encoder.1.

Schemat ataku pokazuje, że cyberprzestępcy nie potrzebują już uprawnień administratora (root), aby móc atakować serwery www pracujące pod kontrolą systemu Linux i szyfrować zawarte na nich pliki. Co więcej, opisywany trojan wciąż stanowi poważne zagrożenie dla właścicieli zasobów internetowych, szczególnie biorąc pod uwagę fakt, że wiele popularnych systemów CMS posiada nieusunięte podatności, a niektórzy administratorzy nadal lekceważą sobie konieczność dokonywania regularnych aktualizacji lub po prostu używają przestarzałych wersji systemów CMS.

Biorąc pod uwagę fakt, że kod Linux.Encoder.1 posiada kilka znaczących błędów, dane zaszyfrowane przez tego trojana mogą być odszyfrowane. Jeśli Twoje pliki zostały zaatakowane przez Linux.Encoder.1, postępuj zgodnie z poniższymi wskazówkami:

  • Powiadom policję.
  • Pod żadnym pozorem nie próbuj zmieniać zawartości katalogów z zaszyfrowanymi plikami.
  • Nie kasuj żadnych plików z serwera.
  • Nie próbuj samodzielnie przywracać zaszyfrowanych danych.
  • Skontaktuj się ze Wsparciem technicznym Doctor Web (usługa darmowego odszyfrowywania plików jest dostępna tylko dla użytkowników, którzy zakupili komercyjne licencje na produkty Dr.Web).
  • Załącz do swojego zgłoszenia plik zaszyfrowany przez trojana.
  • Poczekaj na odpowiedź od wparcia technicznego.

Jeszcze raz chcemy zaznaczyć, że darmowa usługa odszyfrowywania plików jest dostępna tylko dla użytkowników, który zakupili komercyjne licencje na produkty Dr.Web. Doctor Web nie jest w stanie zagwarantować, że wszystkie pliki zostaną odszyfrowane z powodzeniem, natomiast nasi specjaliści podejmą wszystkie niezbędne kroki, aby odzyskać zaszyfrowane dane.

Biorąc pod uwagę fakt, że niektóre wady w architekturze Linux.Encoder.1 uniemożliwiają mu nieodwracalne uszkodzenie lub zniszczenie wszystkich danych na serwerze, istnieje taka możliwość, że za jakiś czas cyberprzestępcy spróbują znaleźć sposób na usunięcie obecnych błędów. Tu tkwi przyczyna, dla której nawet użytkownicy relatywnie bezpiecznych systemów operacyjnych, takich jak Linux — a w szczególności webmasterzy stron www działających na popularnych platformach — mogą zostać dotknięci złośliwymi działaniami tego programu. Przypominamy użytkownikom Internetu, że Linux.Encoder.1 został już dodany do baz wirusów Dr.Web dla Linuxa. Analitycy bezpieczeństwa Doctor Web będą kontynuować monitorowanie tej sytuacji.

źródło: Dr.Web

Doctor Web ogłasza wykrycie Linux.Encoder.2

23/11/2015. Pojawienie się nowego ransomware szyfrującego pliki dla Linuxa nazwanego Linux.Encoder.1 spotkało się z dużym oddźwiękiem ze strony zwykłych użytkowników i specjalistów IT na całym świecie — jak się okazało, nawet tak bezpieczny system jak Linux może stać się celem dla trojanów ransomware. Co więcej, ostatnio co najmniej dwaj inni reprezentanci tej rodziny ujrzeli światło dzienne. Analitycy bezpieczeństwa Doctor Web drobiazgowo przebadali jednego z nich i nazwali go Linux.Encoder.2.

Pomimo faktu, że ten trojan został dodany do bazy wirusów Dr.Web pod numerem drugim, to został stworzony wcześniej, ale mimo to nigdy przedtem nie trafił do szczegółowych badań prowadzonych przez analityków bezpieczeństwa. Co więcej, nie tak dawno jedna z firm antywirusowych zgłosiła wyniki badań innego trojana nazwanego Linux.Encoder.0 — przypuszczalnie to ten trojan był pionierem tej grupy, podczas gdy dystrybucja Linux.Encoder.2 była przeprowadzana od września do października 2015. Później, niż pojawił się Linux.Encoder.1.

W przeciwieństwie do Linux.Encoder.1, ta modyfikacja wykorzystuje inny generator numerów pseudolosowych i szyfruje pliki z użyciem biblioteki OpenSSL (nie PolarSSL, jak Linux.Encoder.1). Co więcej, szyfrowanie jest przeprowadzane w trybie AES-OFB-128 z ponownym inicjowaniem kontekstu co każde 128 bajtów, czyli co każde 8 bloków AES. W Linux.Encoder.2 znalazła się również pewna liczba innych znaczących zmian wynikających z alternatywnego wykonywania się podprogramu szyfrującego.

Warto zauważyć, że wszystkie znane narzędzia do odszyfrowywania nie kasują skryptu powłoki z zainfekowanego serwera — w ten sposób cyberprzestępcy mogą użyć go później do ponownego zainfekowania systemu. To dlatego specjaliści wsparcia technicznego Doctor Web pomagają wszystkim użytkownikom którzy wysłali swoje zgłoszenie w usunięciu dodatkowych złośliwych programów ze swoich systemów i w zabezpieczeniu swoich maszyn przed przyszłymi, możliwymi atakami przeprowadzanymi z użyciem tego skryptu.

Sygnatura Linux.Encoder.2 została dodana do baz wirusów Dr.Web dla Linuxa. Analitycy bezpieczeństwa Doctor Web wynaleźli nową technikę która, w większości przypadków, potrafi pomóc w odszyfrowaniu plików zaatakowanych przez to malware.

Jeśli Twoje pliki zostały zaatakowane przez Linux.Encoder.2, postępuj zgodnie z poniższymi wskazówkami:

  • Powiadom policję.
  • Pod żadnym pozorem nie próbuj zmieniać zawartości katalogów z zaszyfrowanymi plikami.
  • Nie kasuj żadnych plików z serwera.
  • Nie próbuj samodzielnie przywracać zaszyfrowanych danych.
  • Skontaktuj się ze Wsparciem technicznym Doctor Web (usługa darmowego odszyfrowywania plików jest dostępna tylko dla użytkowników, którzy zakupili komercyjne licencje na produkty Dr.Web).
  • Załącz do swojego zgłoszenia plik zaszyfrowany przez trojana.
  • Poczekaj na odpowiedź od wparcia technicznego. Z przyczyny dużej liczby zgłoszeń może to zająć nieco czasu.

Jeszcze raz chcemy zaznaczyć, że darmowa usługa odszyfrowywania plików jest dostępna tylko dla użytkowników, który zakupili komercyjne licencje na produkty Dr.Web. Doctor Web nie jest w stanie zagwarantować, że wszystkie pliki zostaną odszyfrowane z powodzeniem, natomiast nasi specjaliści podejmą wszystkie niezbędne kroki, aby odzyskać zaszyfrowane dane.

źródło: Dr.Web