Primul virus ransomware pe Linux a fost invins de BitDefender

0

gnu_linux

Mă bucură extrem de mult să văd că echipa BitDefender începe să facă din nou chestii faine ce merită să fie promovate. Astăzi au reușit să găsească algoritmul de decriptare pentru fișierele criptate prin Linux.Encoder.1, primul virus Linux de tip ransomware – adică unul ce criptează fișierele de pe disc și cere utilizatorilor bani în schimbul decriptării lor. Linux.Encoder.1 a fost identificat săptămâna trecută și are un comportament similar cu ale CryptoWall, TorLocker sau a altor familii care acționează pe Windows. Infecția se face prin exploatarea unei vulnerabilități din platforma de content management Magento, așa că dacă aveți vreun site care rulează pe Magento ar fi bine să patch-uiți rapid server-ul ca să nu aveți probleme.

Cum funcționează primul ransomware de Linux

Similar modului de acțiune din Windows, Linux.Encoder.1 folosește un algoritm de criptare simetrică (AES), care furnizează suficientă putere și viteză și păstrează resursele consumate la un nivel minim. Cheia simetrică este apoi criptată cu un algoritm de criptare asimetrică (RSA) și adăugată la începutul fișierului, alături de vectorul de inițializare folosit de AES. După ce fișierele au fost criptate, Trojan încearcă să cripteze conținutul fișierului rădăcină (/), evitând doar fișierele de sistem critice, pentru ca sistemul de operare să fie capabil să boot-eze din nou. În acel moment, utilizatorii sunt nevoiți să plătească o taxă pentru a intra în posesia codului RSA care îl decriptează pe cel AES. Cu toate acestea, o slăbiciune în modul în care virusul a fost programat a permis cercetătorilor Bitdefender să extragă codul AES fără să fie nevoiți să decripteze folosind codul RSA.

Odată ce a descoperit algoritmul de decriptare (datorită unei greșeli de design în funcționalitatea virusului) echipa BitDefender a creat și instrumentele necesare curățării sistemelor infectate.

Pachetul de instrumente furnizat de Bitdefender află codul de criptare prin analizarea fișierului și execută operațiunea de decriptare, urmată de repararea acestuia. Dacă sistemul de operare compromis de atac începe să boot-eze, descărcați și rulați scriptul de pe: http://labs.bitdefender.com/2015/11/linux-ransomware-debut-fails-on-predictable-encryption-key/.

Felicitări BitDefender!

LĂSAȚI UN MESAJ

Please enter your comment!
Please enter your name here