Összefoglaló
A Linux.Encoder.1 zsaroló program titkosítja az állományokat a fertőzött számítógépen, ezért azok használhatatlanná válnak. Ezután arra kéri áldozatát, hogy váltságdíjat fizessen a titkosított fájlokért. Orosz kutatók által működtetett cég a Doctor Web felfedezett egy új fájltitkosításra alkalmas Ransomware-t, amely a Linux operációs rendszert futtató webmestereket vette célba.
Leírás
A trójai, amelyet C-ben írtak, használja a PolarSSL könyvtárat, majd elindítja magát adminisztrátori jogosultsággal, betöltödik a memóriába a folyamat fájlokat tartalmazó internetes bűnözők igényeinek megfelelően:
- ./readme.crypto-file követelték,
- ./index.crypto-HTML fájlt igényeket.
Argumentumként a trójai megkapja a fájl elérési útját tartalmazó nyilvános RSA-kulcsot. Miután elolvasta a fájlok tartalmát, a trójai törli az eredeti fájlokat.
Először a Linux.Encoder.1 titkosítja az összes fájlt a következő könyvtárakban:
- /home
- /root
- /var/lib/mysql
- /var/www
- /etc/nginx
- /etc/apache2
- /var/log
Ezt követően, a trójai titkosítja az összes fájlt a felhasználók saját könyvtáraiban, a Linux.Encoder.1 a rekurzív teljes fájlrendszert: az első könyvtárban, amelyikben indult, majd a gyökér könyvtárat “/”. A titkosítás funkciót csak azokra a könyvtárakra alkalmazza, amelynek a neve valamelyikével kezdődik a következő sorok szerint:
public_html www webapp backup .git .svn
Ezután a következő kiterjesztésű fájlokat titkosítja:
.php, .html, .tar, .gz, .sql, Js, .css, .txt, .pdf, .tgz, .war, .jar,.java,.class,.ruby, .rar, .zip, .db, .7z,.doc,.pdf,.xls, .properties, .xml, .jpg, .jpeg, .png, .gif, .mov, .avi, .wmv,.mp3, .mp4, .wma, .aac, .wav, .pem, .pub, .docx, Apk, .exe, .dll, .tpl, PSD, .asp, .phtml, .aspx, .csv
A fájlok a következő könyvtárakban nincsenek titkosítva:
/ /root/.ssh /usr/bin /bin /etc/ssh
A Linux.Encoder.1 letölt pár állományt tartalmazó igényt és az egyik fájlt tartalmazó nyilvános RSA kulcs tárolására használt AES kulcsokat a fájlok titkosítására. Majd titkosítja a fájlokat AES_CBC-128-cal, ezekhez a .encrypted kiterjesztést fűzi hozzá.
A minden könyvtár, mely tartalmazza a titkosított fájlokat, a trójai egy README_FOR_DECRYPT.txt fájlba helyezi el, hogy váltságdíjat követelhessen.
Megoldás
Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) seMegoldás
A betöltött operációs rendszer teljes szkennelést hajt végre minden lemezpartíción a Dr.Web Anti-virus for Linux segítségével.
Támadás típusa
Crypthographical (Titkosítás)Hijacking (Visszaélés)
Information disclosure (Információ/adat szivárgás)
Manipulation of data
Privilege escalation (jogosultság kiterjesztés)
Ransomware
Trójai
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: vms.drweb.com
Egyéb referencia: www.securityweek.com
Egyéb referencia: news.drweb.com
