Linux.Encoder.1 Ransomware trójai


2015. november 6. 22:42

CH azonosító

CH-12752

Angol cím

Linux.Encoder.1

Felfedezés dátuma

2015.11.04.

Súlyosság

Alacsony

Érintett rendszerek

Linux

Érintett verziók

LINUX

Összefoglaló

A Linux.Encoder.1 zsaroló program titkosítja az állományokat a fertőzött számítógépen, ezért azok használhatatlanná válnak. Ezután arra kéri áldozatát, hogy váltságdíjat fizessen a titkosított fájlokért. Orosz kutatók által működtetett cég a Doctor Web felfedezett egy új fájltitkosításra alkalmas Ransomware-t, amely a Linux operációs rendszert futtató webmestereket vette célba.

Leírás

A trójai, amelyet C-ben írtak, használja a PolarSSL könyvtárat, majd elindítja magát adminisztrátori jogosultsággal, betöltödik a memóriába  a folyamat fájlokat tartalmazó internetes bűnözők igényeinek megfelelően:

  • ./readme.crypto-file követelték,
  • ./index.crypto-HTML fájlt igényeket.

Argumentumként a trójai megkapja a fájl elérési útját tartalmazó nyilvános RSA-kulcsot. Miután elolvasta a fájlok tartalmát, a trójai törli az eredeti fájlokat.

Először a Linux.Encoder.1 titkosítja az összes fájlt a következő könyvtárakban: 

  • /home
  • /root
  • /var/lib/mysql
  • /var/www
  • /etc/nginx
  • /etc/apache2
  • /var/log

Ezt követően, a trójai titkosítja az összes fájlt a felhasználók saját könyvtáraiban, a Linux.Encoder.1 a rekurzív teljes fájlrendszert: az első könyvtárban, amelyikben indult, majd a gyökér könyvtárat “/”. A titkosítás funkciót csak azokra a könyvtárakra alkalmazza, amelynek a neve valamelyikével kezdődik a következő sorok szerint:

public_html www webapp backup .git .svn

Ezután a következő kiterjesztésű fájlokat titkosítja:

.php, .html, .tar, .gz, .sql, Js, .css, .txt, .pdf, .tgz, .war, .jar,.java,.class,.ruby, .rar, .zip, .db, .7z,.doc,.pdf,.xls, .properties, .xml, .jpg, .jpeg, .png, .gif, .mov, .avi, .wmv,.mp3, .mp4, .wma, .aac, .wav, .pem, .pub, .docx, Apk, .exe, .dll, .tpl, PSD, .asp, .phtml, .aspx, .csv

A fájlok a következő könyvtárakban nincsenek titkosítva:

/ /root/.ssh /usr/bin /bin /etc/ssh

A Linux.Encoder.1 letölt pár állományt tartalmazó igényt és az egyik fájlt tartalmazó nyilvános RSA kulcs tárolására használt AES kulcsokat a fájlok titkosítására. Majd titkosítja a fájlokat AES_CBC-128-cal, ezekhez a .encrypted kiterjesztést fűzi hozzá.

A minden könyvtár, mely tartalmazza a titkosított fájlokat, a trójai egy README_FOR_DECRYPT.txt fájlba helyezi el, hogy váltságdíjat követelhessen.

Megoldás

Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se

Megoldás

A betöltött operációs rendszer teljes szkennelést hajt végre minden lemezpartíción a Dr.Web Anti-virus for Linux segítségével.

Támadás típusa

Crypthographical (Titkosítás)
Hijacking (Visszaélés)
Information disclosure (Információ/adat szivárgás)
Manipulation of data
Privilege escalation (jogosultság kiterjesztés)
Ransomware
Trójai

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: vms.drweb.com
Egyéb referencia: www.securityweek.com
Egyéb referencia: news.drweb.com

Legfrissebb sérülékenységek
CVE-2025-40602 – SonicWall SMA1000 Missing Authorization sérülékenysége
CVE-2025-59374 – ASUS Live Update Embedded Malicious Code sérülékenysége
CVE-2025-20393 – Cisco Multiple Products Improper Input Validation sérülékenysége
CVE-2025-58360 – OSGeo GeoServer Improper Restriction of XML External Entity Reference sérülékenysége
CVE-2018-4063 – Sierra Wireless AirLink ALEOS Unrestricted Upload of File with Dangerous Type sérülékenysége
CVE-2025-14174 – Google Chromium Out of Bounds Memory Access sérülékenysége
CVE-2025-14611 – Gladinet CentreStack and Triofox Hard Coded Cryptographic sérülékenysége
CVE-2025-43529 – Apple Multiple Products Use-After-Free WebKit sérülékenysége
CVE-2025-21621 – GeoServer Reflected Cross-Site Scripting (XSS) sérülékenység
CVE-2025-64471 – Fortinet FortiWeb sérülékenysége
Tovább a sérülékenységekhez »