Linux.Encoder.1 Ransomware trójai

CH azonosító

CH-12752

Angol cím

Linux.Encoder.1

Felfedezés dátuma

2015.11.04.

Súlyosság

Alacsony

Érintett rendszerek

Linux

Érintett verziók

LINUX

Összefoglaló

A Linux.Encoder.1 zsaroló program titkosítja az állományokat a fertőzött számítógépen, ezért azok használhatatlanná válnak. Ezután arra kéri áldozatát, hogy váltságdíjat fizessen a titkosított fájlokért. Orosz kutatók által működtetett cég a Doctor Web felfedezett egy új fájltitkosításra alkalmas Ransomware-t, amely a Linux operációs rendszert futtató webmestereket vette célba.

Leírás

A trójai, amelyet C-ben írtak, használja a PolarSSL könyvtárat, majd elindítja magát adminisztrátori jogosultsággal, betöltödik a memóriába  a folyamat fájlokat tartalmazó internetes bűnözők igényeinek megfelelően:

  • ./readme.crypto-file követelték,
  • ./index.crypto-HTML fájlt igényeket.

Argumentumként a trójai megkapja a fájl elérési útját tartalmazó nyilvános RSA-kulcsot. Miután elolvasta a fájlok tartalmát, a trójai törli az eredeti fájlokat.

Először a Linux.Encoder.1 titkosítja az összes fájlt a következő könyvtárakban: 

  • /home
  • /root
  • /var/lib/mysql
  • /var/www
  • /etc/nginx
  • /etc/apache2
  • /var/log

Ezt követően, a trójai titkosítja az összes fájlt a felhasználók saját könyvtáraiban, a Linux.Encoder.1 a rekurzív teljes fájlrendszert: az első könyvtárban, amelyikben indult, majd a gyökér könyvtárat “/”. A titkosítás funkciót csak azokra a könyvtárakra alkalmazza, amelynek a neve valamelyikével kezdődik a következő sorok szerint:

public_html www webapp backup .git .svn

Ezután a következő kiterjesztésű fájlokat titkosítja:

.php, .html, .tar, .gz, .sql, Js, .css, .txt, .pdf, .tgz, .war, .jar,.java,.class,.ruby, .rar, .zip, .db, .7z,.doc,.pdf,.xls, .properties, .xml, .jpg, .jpeg, .png, .gif, .mov, .avi, .wmv,.mp3, .mp4, .wma, .aac, .wav, .pem, .pub, .docx, Apk, .exe, .dll, .tpl, PSD, .asp, .phtml, .aspx, .csv

A fájlok a következő könyvtárakban nincsenek titkosítva:

/ /root/.ssh /usr/bin /bin /etc/ssh

A Linux.Encoder.1 letölt pár állományt tartalmazó igényt és az egyik fájlt tartalmazó nyilvános RSA kulcs tárolására használt AES kulcsokat a fájlok titkosítására. Majd titkosítja a fájlokat AES_CBC-128-cal, ezekhez a .encrypted kiterjesztést fűzi hozzá.

A minden könyvtár, mely tartalmazza a titkosított fájlokat, a trójai egy README_FOR_DECRYPT.txt fájlba helyezi el, hogy váltságdíjat követelhessen.

Megoldás

Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se

Megoldás

A betöltött operációs rendszer teljes szkennelést hajt végre minden lemezpartíción a Dr.Web Anti-virus for Linux segítségével.