Обнаружен троян-шифровальщик для Linux
Как сообщила компания Доктор Веб, был обнаружен троян-шифровальщик для операционной системы GNU/Linux, внесенный в базу компании как Linux.Encoder.1. Зловред написан на языке С с использованием библиотеки PolarSSL и для работы требует прав root. Троянец запускает себя как демон и удаляет свой исходный файл, затем шифрует содержимое каталогов:
/home
/root
/var/lib/mysql
/var/www
/etc/nginx
/etc/apache2
/var/logПосле этого Linux.Encoder.1 начинает рекурсивный обход содержимого файловой системы и шифрует файлы с определенными расширениями. Исходя из этой информации можно сделать вывод, что троянец нацелен, в первую очередь, на веб-сервера. Шифрование осуществляется по алгоритму AES. Сгенерированные AES-ключи шифруются используя RSA. Получить данные обратно без приватного ключа практически невозможно. В каждом каталоге с зашифрованными файлами располагается текстовый файл с требованиями создателей. Содержимое файла:
Your personal files are encrypted! Encription was produced using a unique public key RSA-2048 generated for this computer.
To decrypt files you need to obtain the private key.
The single copy of the private key, which will allow to decrypt the files, located on a secret server at the Internet. After that, nobody and never will be able to restore files...
To obtain the private key and php script for this computer, which will automatically decrypt files, you need to pay 1 bitcoin(s) (~420 USD).
Without this key, you will never ba able to get your original files back.
В конце файла размещается ссылка на ресурс в сети Tor, где можно получить приватный ключ для расшифровки файлов после оплаты. Требуемая сумма составляет 1 биткоин (примерно, 420 USD).
Каким образом троянец попадает на сервер и получает права для запуска не уточняется.
web-server, безопасность, решето
