• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Linux.Encoder.1

regist

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
14,890
Реакции
6,804
Добавлен в вирусную базу Dr.Web: 2015-11-05
Описание добавлено: 2015-11-06

SHA1:
  • a5054babc853ec280f70a06cb090e05259ca1aa7 (x64, UPX)
  • 98e057a4755e89fbfda043eaca1ab072674a3154 (x64,unpacked)
  • 810806c3967e03f2fa2b9223d24ee0e3d42209d3 (x64, FreeBSD)
  • 12df5d886d43236582b57d036f84f078c15a14b0 (x86, UPX)
  • 5bd6b41aa29bd5ea1424a31dadd7c1cfb3e09616 (x86, unpacked)

Троянец-шифровальщик для Linux, написан на языке C с использованием криптографической библиотеки PolarSSL.

После запуска с правами администратора троянец загружает в память своего процесса файлы с требованиями вирусописателей:
  • ./readme.crypto — файл с требованиями;
  • ./index.crypto — файл с требованиями в формате html.

Аргументом троянцу передается путь до файла, содержащего публичный RSA-ключ.

После чтения содержимого файлов троянец удаляет их, запускает себя как демон и удаляет собственный исходный файл.

В первую очередь Linux.Encoder.1 шифрует все файлы в следующих каталогах:
Код: 
/home
/root
/var/lib/mysql
/var/www
/etc/nginx
/etc/apache2
/var/log
Вслед за этим троянец шифрует все файлы в домашних каталогах пользователей. Затем Linux.Encoder.1 рекурсивно обходит всю файловую систему: в первую очередь каталог, из которого он был запущен, а затем корневой каталог «/». Шифрование выполняется только для каталогов, название которых начинается с одной из следующих строк:
Код: 
public_html
www
webapp
backup
.git
.svn
При этом шифруются только файлы со следующими расширениями:

".php", ".html", ".tar", ".gz", ".sql", ".js", ".css", ".txt" ".pdf", ".tgz", ".war", ".jar", ".java", ".class", ".ruby", ".rar" ".zip", ".db", ".7z", ".doc", ".pdf", ".xls", ".properties", ".xml" ".jpg", ".jpeg", ".png", ".gif", ".mov", ".avi", ".wmv", ".mp3" ".mp4", ".wma", ".aac", ".wav", ".pem", ".pub", ".docx", ".apk" ".exe", ".dll", ".tpl", ".psd", ".asp", ".phtml", ".aspx", ".csv"

Файлы в следующих каталогах не подвергаются шифрованию:
Код: 
/
/root/.ssh
/usr/bin
/bin
/etc/ssh
Для шифрования каждого файла генерируется собственный AES-ключ. Шифрование выполняется в режиме AES-CBC-128, зашифрованные файлы получают расширение .encrypted. В каждом каталоге с зашифрованными файлами троянец размещает файл README_FOR_DECRYPT.txt с требованиями выкупа за расшифровку файлов.

При запуске расшифровки Linux.Encoder.1 использует полученный от вирусописателей приватный RSA-ключ для получения AES-ключей из зашифрованных файлов, перебирает каталоги в той же последовательности, что и при шифровании, удаляет файлы README_FOR_DECRYPT.txt и пытается расшифровать все файлы с расширениями .ecnrypted.

В настоящее время специалисты компании «Доктор Веб» работают над технологией, позволяющей с некоторой долей вероятности расшифровать данные, зашифрованные вредоносной программой.

источник.
 
Троян проникает в систему эксплуатируя уязвимость в платформе электронной коммерции Magento.
 
Уязвимость в вымогательском ПО для Linux свела стойкость шифрования на нет

Исследователи лаборатории Bitdefender проанализировали недавно анонсированное вымогательское вредоносное ПО Linux.Encoder.1, осуществляющее шифрование данных на серверах с Linux и FreeBSD, и нашли в нём серьёзный промах в организации процесса шифрования, позволяющий расшифровать данные без получения приватного ключа RSA. Результаты анализа послужили основой для написания Python-скрипта, автоматизирующего расшифровку и восстановление данных.

pclinux.jpg

Напомним, что метод сокрытия данных Linux.Encoder.1 сводится к генерации ключа для алгоритма симметричного шифрования AES, шифрование файлов при помощи AES, а затем шифровании ключа AES при помощи открытого ключа на основе асимметричного алгоритма RSA. Таким образом, для того чтобы расшифровать конечные файлы необходимо знать ключ для алгоритма AES, который зашифрован методом RSA, а для расшифровки требуется получить закрытый ключ RSA. Алгоритм AES применяется для конечных файлов в силу высокой производительности, в то время как RSA ограничивается только шифрованием ключей AES из-за большой ресурсоёмкости, сообщает opennet.ru.

Суть ошибки разработчиков вредоносного ПО в том, что они использовали некриптостойкий генератор случайных чисел и оставили неизменным время модификации файла, т.е. данные о векторе инициализации AES. Оставленной информации оказалось достаточно для восстановления исходного ключа AES и позволило обойтись без дешифровки ключа с использованием метода RSA. Случайные значения для ключей и векторов инициализации получались через вызов rand() из стандартной библиотеки, который использует генератор псевдослучайных чисел, отталкивающийся от текущего системного времени. Системное время шифрования было сохранено в метаданных файла (время модификации файла), что позволяет восстановить состояние генератора случайных чисел и симулировать процесс формирования ключа на момент вредоносного шифрования.

Кроме того, стали известны подробности поражения серверов вредоносным шифровальщиком. Linux.Encoder.1 проникал в систему эксплуатируя уязвимость в платформе электронной коммерции Magento, позволяющую атакующему выполнить произвольный PHP-код на сервере.

Источник: Уязвимость в вымогательском ПО для Linux свела стойкость шифрования на нет
 
Последнее редактирование модератором:
Severnyj, я читал эту новость, но сознательно не стал её публиковать. Для чего указывать на ошибки авторам вируса.
У битдефендера кстати ещё и дешифратор выложен.
И если кому интересно, то первоисточник новости Linux Ransomware Debut Fails on Predictable Encryption Key | Bitdefender Labs
 
Назад
Сверху Снизу