Linux.Encoder.1

Тема в разделе "Новости информационной безопасности", создана пользователем regist, 9 ноя 2015.

  1. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Добавлен в вирусную базу Dr.Web: 2015-11-05
    Описание добавлено: 2015-11-06

    SHA1:

    • a5054babc853ec280f70a06cb090e05259ca1aa7 (x64, UPX)
    • 98e057a4755e89fbfda043eaca1ab072674a3154 (x64,unpacked)
    • 810806c3967e03f2fa2b9223d24ee0e3d42209d3 (x64, FreeBSD)
    • 12df5d886d43236582b57d036f84f078c15a14b0 (x86, UPX)
    • 5bd6b41aa29bd5ea1424a31dadd7c1cfb3e09616 (x86, unpacked)

    Троянец-шифровальщик для Linux, написан на языке C с использованием криптографической библиотеки PolarSSL.

    После запуска с правами администратора троянец загружает в память своего процесса файлы с требованиями вирусописателей:
    • ./readme.crypto — файл с требованиями;
    • ./index.crypto — файл с требованиями в формате html.

    Аргументом троянцу передается путь до файла, содержащего публичный RSA-ключ.

    После чтения содержимого файлов троянец удаляет их, запускает себя как демон и удаляет собственный исходный файл.

    В первую очередь Linux.Encoder.1 шифрует все файлы в следующих каталогах:
    Код (Text):
    /home
    /root
    /var/lib/mysql
    /var/www
    /etc/nginx
    /etc/apache2
    /var/log
    Вслед за этим троянец шифрует все файлы в домашних каталогах пользователей. Затем Linux.Encoder.1 рекурсивно обходит всю файловую систему: в первую очередь каталог, из которого он был запущен, а затем корневой каталог «/». Шифрование выполняется только для каталогов, название которых начинается с одной из следующих строк:
    Код (Text):
    public_html
    www
    webapp
    backup
    .git
    .svn
    При этом шифруются только файлы со следующими расширениями:

    ".php", ".html", ".tar", ".gz", ".sql", ".js", ".css", ".txt" ".pdf", ".tgz", ".war", ".jar", ".java", ".class", ".ruby", ".rar" ".zip", ".db", ".7z", ".doc", ".pdf", ".xls", ".properties", ".xml" ".jpg", ".jpeg", ".png", ".gif", ".mov", ".avi", ".wmv", ".mp3" ".mp4", ".wma", ".aac", ".wav", ".pem", ".pub", ".docx", ".apk" ".exe", ".dll", ".tpl", ".psd", ".asp", ".phtml", ".aspx", ".csv"

    Файлы в следующих каталогах не подвергаются шифрованию:
    Код (Text):
    /
    /root/.ssh
    /usr/bin
    /bin
    /etc/ssh
    Для шифрования каждого файла генерируется собственный AES-ключ. Шифрование выполняется в режиме AES-CBC-128, зашифрованные файлы получают расширение .encrypted. В каждом каталоге с зашифрованными файлами троянец размещает файл README_FOR_DECRYPT.txt с требованиями выкупа за расшифровку файлов.

    При запуске расшифровки Linux.Encoder.1 использует полученный от вирусописателей приватный RSA-ключ для получения AES-ключей из зашифрованных файлов, перебирает каталоги в той же последовательности, что и при шифровании, удаляет файлы README_FOR_DECRYPT.txt и пытается расшифровать все файлы с расширениями .ecnrypted.

    В настоящее время специалисты компании «Доктор Веб» работают над технологией, позволяющей с некоторой долей вероятности расшифровать данные, зашифрованные вредоносной программой.

    источник.
     
    fseto, Kиpилл, Phoenix и 3 другим нравится это.
  2. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Троян проникает в систему эксплуатируя уязвимость в платформе электронной коммерции Magento.
     
    akok нравится это.
  3. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Уязвимость в вымогательском ПО для Linux свела стойкость шифрования на нет

    Исследователи лаборатории Bitdefender проанализировали недавно анонсированное вымогательское вредоносное ПО Linux.Encoder.1, осуществляющее шифрование данных на серверах с Linux и FreeBSD, и нашли в нём серьёзный промах в организации процесса шифрования, позволяющий расшифровать данные без получения приватного ключа RSA. Результаты анализа послужили основой для написания Python-скрипта, автоматизирующего расшифровку и восстановление данных.

    [​IMG]

    Напомним, что метод сокрытия данных Linux.Encoder.1 сводится к генерации ключа для алгоритма симметричного шифрования AES, шифрование файлов при помощи AES, а затем шифровании ключа AES при помощи открытого ключа на основе асимметричного алгоритма RSA. Таким образом, для того чтобы расшифровать конечные файлы необходимо знать ключ для алгоритма AES, который зашифрован методом RSA, а для расшифровки требуется получить закрытый ключ RSA. Алгоритм AES применяется для конечных файлов в силу высокой производительности, в то время как RSA ограничивается только шифрованием ключей AES из-за большой ресурсоёмкости, сообщает opennet.ru.

    Суть ошибки разработчиков вредоносного ПО в том, что они использовали некриптостойкий генератор случайных чисел и оставили неизменным время модификации файла, т.е. данные о векторе инициализации AES. Оставленной информации оказалось достаточно для восстановления исходного ключа AES и позволило обойтись без дешифровки ключа с использованием метода RSA. Случайные значения для ключей и векторов инициализации получались через вызов rand() из стандартной библиотеки, который использует генератор псевдослучайных чисел, отталкивающийся от текущего системного времени. Системное время шифрования было сохранено в метаданных файла (время модификации файла), что позволяет восстановить состояние генератора случайных чисел и симулировать процесс формирования ключа на момент вредоносного шифрования.

    Кроме того, стали известны подробности поражения серверов вредоносным шифровальщиком. Linux.Encoder.1 проникал в систему эксплуатируя уязвимость в платформе электронной коммерции Magento, позволяющую атакующему выполнить произвольный PHP-код на сервере.

    Источник: Уязвимость в вымогательском ПО для Linux свела стойкость шифрования на нет
     
    Последнее редактирование модератором: 13 ноя 2015
    Dragokas нравится это.
  4. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Severnyj, я читал эту новость, но сознательно не стал её публиковать. Для чего указывать на ошибки авторам вируса.
    У битдефендера кстати ещё и дешифратор выложен.
    --- Объединённое сообщение, 13 ноя 2015 ---
    И если кому интересно, то первоисточник новости Linux Ransomware Debut Fails on Predictable Encryption Key | Bitdefender Labs
     
  5. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    В рунете уже как минимум 6 источников с этой новостью, все-равно узнают
     
    akok нравится это.

Поделиться этой страницей