12 stycznia 2016

Początek tego roku odznaczył się pojawieniem się nowego ransomware szyfrującego pliki dla Linuxa nazwanego Linux.Encoder.3. Analitycy bezpieczeństwa Doctor Web przebadali tego trojana i zarejestrowali kilka funkcjonalności znacząco różniących go od jego poprzedników.

Twórcy wirusów najwyraźniej przyjęli uwagi jednej z zachodnich firm antywirusowych, zawierające szczegółowe informacje na temat błędów twórców wirusa w kodzie Linux.Encoder.1 i szybko je poprawili. Tak jak poprzednie wersje Linux.Encoder, ten trojan penetruje katalog domowy strony www używając skryptu powłoki wbudowanego w różne systemy zarządzania treścią z nieznanymi podatnościami. Linux.Encoder.3 nie wymaga uprawnień root’a — uprawnienia serwera www są wystarczające dla trojana do tego, aby mógł on zaszyfrować wszystkie pliki w katalogu domowym. Jak dotąd wsparcie techniczne Doctor Web otrzymało pewną liczbę zgłoszeń od właścicieli stron www którzy zetknęli się z Linux.Encoder.3.

Cyberprzestępcy zmienili algorytm szyfrowania używany przez trojana (biorąc pod uwagę wszystkie zalecenia dane przez wymienioną wcześniej firmę antywirusową), jednakże zaatakowane pliki wciąż są uzupełniane rozszerzeniem .encrypted. Główną funkcjonalnością Linux.Encoder.3 jest to, że potrafi zapamiętywać daty utworzenia i modyfikacji plików i zmieniać je dla swoich zmodyfikowanych plików na daty określone przed zaszyfrowaniem. Każda próbka tego złośliwego programu używa swojego unikalnego klucza szyfrującego stworzonego w oparciu o parametry zaszyfrowanych plików i wartości generowane losowo.

Pewna liczba cech architektury Linux.Encoder.3 czyni możliwym pomyślne odszyfrowanie zaatakowanych plików, jednakże z przyczyny faktu, że wymieniona firma antywirusowa opublikowała nowe badania tego trojana zawierające szczegółowe informacje na temat tych błędów, twórcy wirusa mogą skorzystać z tych danych i zmodyfikować swój enkoder, czyniąc procedurę odszyfrowania bardziej skomplikowaną. Tym samym jest bardzo prawdopodobne, że w najbliższej przyszłości dojdzie do wykrycia kolejnej zmodyfikowanej wersji wirusa Linux.Encoder.

Jeśli stałeś się ofiarą Linux.Encoder.3, postępuj zgodnie z poniższymi wskazówkami:

• Powiadom policję.
• Pod żadnym pozorem nie próbuj zmieniać zawartości katalogów z zaszyfrowanymi plikami.
• Nie kasuj żadnych plików z serwera.
• Nie próbuj samodzielnie przywracać zaszyfrowanych plików.
• Skontaktuj się ze wsparciem technicznym Doctor Web (darmowa usługa odszyfrowywania jest dostępna tylko dla użytkowników którzy zakupili komercyjne licencje na produkty Dr.Web).
• Załącz zaszyfrowane przez trojana pliki do Twojego zgłoszenia.
• Poczekaj na odpowiedź od wsparcia technicznego. Z racji na dużą liczbę zgłoszeń może to zająć nieco czasu.

Jeszcze raz chcemy zaznaczyć, że usługa darmowego odszyfrowywania jest dostępna tylko dla użytkowników, którzy zakupili komercyjne licencje na produkty Dr.Web. Doctor Web nie może zagwarantować, że wszystkie Twoje pliki zostaną odszyfrowane z powodzeniem, jednakże nasi specjaliści zrobią wszystko, co w ich mocy, aby odzyskać zaszyfrowane dane.

Więcej na temat tego trojana