20 listopada 2015

Pojawienie się nowego ransomware szyfrującego pliki dla Linuxa nazwanego Linux.Encoder.1 spotkało się z dużym oddźwiękiem ze strony zwykłych użytkowników i specjalistów IT na całym świecie — jak się okazało, nawet tak bezpieczny system jak Linux może stać się celem dla trojanów ransomware. Co więcej, ostatnio co najmniej dwaj inni reprezentanci tej rodziny ujrzeli światło dzienne. Analitycy bezpieczeństwa Doctor Web drobiazgowo przebadali jednego z nich i nazwali go Linux.Encoder.2.

Pomimo faktu, że ten trojan został dodany do bazy wirusów Dr.Web pod numerem drugim, to został stworzony wcześniej, ale mimo to nigdy przedtem nie trafił do szczegółowych badań prowadzonych przez analityków bezpieczeństwa. Co więcej, nie tak dawno jedna z firm antywirusowych zgłosiła wyniki badań innego trojana nazwanego Linux.Encoder.0 — przypuszczalnie to ten trojan był pionierem tej grupy, podczas gdy dystrybucja Linux.Encoder.2 była przeprowadzana od września do października 2015. Później, niż pojawił się Linux.Encoder.1.

W przeciwieństwie do Linux.Encoder.1, ta modyfikacja wykorzystuje inny generator numerów pseudolosowych i szyfruje pliki z użyciem biblioteki OpenSSL (nie PolarSSL, jak Linux.Encoder.1). Co więcej, szyfrowanie jest przeprowadzane w trybie AES-OFB-128 z ponownym inicjowaniem kontekstu co każde 128 bajtów, czyli co każde 8 bloków AES. W Linux.Encoder.2 znalazła się również pewna liczba innych znaczących zmian wynikających z alternatywnego wykonywania się podprogramu szyfrującego.

Warto zauważyć, że wszystkie znane narzędzia do odszyfrowywania nie kasują skryptu powłoki z zainfekowanego serwera — w ten sposób cyberprzestępcy mogą użyć go później do ponownego zainfekowania systemu. To dlatego specjaliści wsparcia technicznego Doctor Web pomagają wszystkim użytkownikom którzy wysłali swoje zgłoszenie w usunięciu dodatkowych złośliwych programów ze swoich systemów i w zabezpieczeniu swoich maszyn przed przyszłymi, możliwymi atakami przeprowadzanymi z użyciem tego skryptu.

Sygnatura Linux.Encoder.2 została dodana do baz wirusów Dr.Web dla Linuxa. Analitycy bezpieczeństwa Doctor Web wynaleźli nową technikę która, w większości przypadków, potrafi pomóc w odszyfrowaniu plików zaatakowanych przez to malware. Jeśli Twoje pliki zostały zaatakowane przez Linux.Encoder.2, postępuj zgodnie z poniższymi wskazówkami:

• Powiadom policję.
• Pod żadnym pozorem nie próbuj zmieniać zawartości katalogów z zaszyfrowanymi plikami.
• Nie kasuj żadnych plików z serwera.
• Nie próbuj samodzielnie przywracać zaszyfrowanych danych.
• Skontaktuj się ze Wsparciem technicznym Doctor Web (usługa darmowego odszyfrowywania plików jest dostępna tylko dla użytkowników, którzy zakupili komercyjne licencje na produkty Dr.Web).
• Załącz do swojego zgłoszenia plik zaszyfrowany przez trojana.
• Poczekaj na odpowiedź od wparcia technicznego. Z przyczyny dużej liczby zgłoszeń może to zająć nieco czasu.

Jeszcze raz chcemy zaznaczyć, że darmowa usługa odszyfrowywania plików jest dostępna tylko dla użytkowników, który zakupili komercyjne licencje na produkty Dr.Web. Doctor Web nie jest w stanie zagwarantować, że wszystkie pliki zostaną odszyfrowane z powodzeniem, natomiast nasi specjaliści podejmą wszystkie niezbędne kroki, aby odzyskać zaszyfrowane dane.