Cercetatorii de la compania antivirus ruseasca Dr. Web au descoperit un nou ransomware care cripteaza fisierele din structura sistemelor de operare Linux.
Firma de securitate crede ca zeci de mii de utilizatori au cazut deja prada acestui ransomware, care pare a viza in principal webmasterii care gazduiesc servere web.
In acest moment nu este clar prin ce metoda este distribuit acest malware si instalat pe computerele victimelor, dar expertii au remarcat faptul ca acesta necesita privilegii de administrator pentru a putea functiona. Odata ce infecteaza un sistem, ransomware-ul detectat de Dr. Web ca Linux.Encoder.1, descarca o serie de fisiere care contin cererile atacatorului si un fisier care contine o cheie RSA publica, care este utilizata pentru a stoca cheile AES pentru criptarea fisierelor.
Conform cercetatorilor, malware-ul este scris in limbajul de programare C si cripteaza fisierele stocate in folderele home si root, dar si alte foldere legate de servere web si administrare site, inclusiv /var/lib/mysql, /var/www/, etc/nginx, /etc/apache, /var/log, public_html, www, webapp, backup, .git si .svn. Linux.Encoder.1 mai vizeaza de asemenea diverse documente, aplicatii si fisiere media.
“Pentru a cripta fiecare fisier, troianul genereaza o cheie AES. Dupa ce fisierele sunt criptate folosind AES-CBC-128, acestea apar cu extensia .encrypted. In fiecare director care contine fisiere criptate, troienul creaza si un fisier README_FOR_DECRYPT.txt in care explica ce trebuie facut pentru a obtine cheia de decriptare” a explicat Dr. Web.
Dupa ce le sunt criptate fisierele, victimelor li se cere sa plateasca un Bitcoin (aproximativ 380 de dolari) pentru a le decripta.
Chiar daca aceste tipuri de ransomware folosesc adesea algoritmi de criptare care sunt imposibil de spart, ocazional, expertii reusesc sa obtina cheile de decriptare necesare pentru a recupera fisierele pierdute. De exemplu, Kaspersky Lab a anuntat recent ca a recuperat toate cele 14.000 de chei de decriptare utilizate de ransomware-urile CoinVault si Bitcryptor.
