LINUX.ORG.RU

Обнаружен троян-шифровальщик для Linux

 ,


3

3

Как сообщила компания Доктор Веб, был обнаружен троян-шифровальщик для операционной системы GNU/Linux, внесенный в базу компании как Linux.Encoder.1. Зловред написан на языке С с использованием библиотеки PolarSSL и для работы требует прав root. Троянец запускает себя как демон и удаляет свой исходный файл, затем шифрует содержимое каталогов:

/home
/root
/var/lib/mysql
/var/www
/etc/nginx
/etc/apache2
/var/log
После этого Linux.Encoder.1 начинает рекурсивный обход содержимого файловой системы и шифрует файлы с определенными расширениями. Исходя из этой информации можно сделать вывод, что троянец нацелен, в первую очередь, на веб-сервера. Шифрование осуществляется по алгоритму AES. Сгенерированные AES-ключи шифруются используя RSA. Получить данные обратно без приватного ключа практически невозможно. В каждом каталоге с зашифрованными файлами располагается текстовый файл с требованиями создателей. Содержимое файла:

Your personal files are encrypted! Encription was produced using a unique public key RSA-2048 generated for this computer.
To decrypt files you need to obtain the private key.
The single copy of the private key, which will allow to decrypt the files, located on a secret server at the Internet. After that, nobody and never will be able to restore files...
To obtain the private key and php script for this computer, which will automatically decrypt files, you need to pay 1 bitcoin(s) (~420 USD).
Without this key, you will never ba able to get your original files back.

В конце файла размещается ссылка на ресурс в сети Tor, где можно получить приватный ключ для расшифровки файлов после оплаты. Требуемая сумма составляет 1 биткоин (примерно, 420 USD).
Каким образом троянец попадает на сервер и получает права для запуска не уточняется.

>>> Подробности



Проверено: Shaman007 ()

Так шифруется AES или таки нессиметричным шифрованием?

energetix_user ()
Ответ на: комментарий от energetix_user

Так шифруется AES или таки нессиметричным шифрованием?

Добавил. AES-ключи потом шифруются через RSA.

Gu4 ()

Ну теперь винде точно капец.

dogbert ★★★★★ ()

для работы требует прав root

Каким образом троянец попадает на сервер и получает права для запуска не уточняется

норм пугалка для лохов

Ув. модераторы, не вздумайте, пожалуйста, подтверждать такую лажу

reprimand ★★★★★ ()

Как достали эти «вирусы» под линукс. Целый океан их, а что-то до сих пор награда в 100 тыщ баксов никому не досталась. Такие вирусы!!1

anonymous ()

для работы требует прав root

fixed

Promusik ★★★★★ ()
Ответ на: комментарий от Gu4

По делу есть что сказать?

Не поверишь, но эта фраза была первая, которую я хотел написать в ответ на эту «новость».

Ибо в тексте нет ничего «по делу». Какой-то вася пупкин написал некий зловред, который попал на сервак админа-рукожопа. Ну и зловерд выявила «Компания доктор веб», затем написала об этом новость для поднятия собственного чсв.

Зато унылые школьники будут орать на всяких хабрахабрах что «пад линакс тоже вирусы есть!!» и кидать ссылку на этот высер

reprimand ★★★★★ ()
Ответ на: комментарий от reprimand

Ибо в тексте нет ничего «по делу». Какой-то вася пупкин написал некий зловред, который попал на сервак админа-рукожопа. Ну и зловерд выявила «Компания доктор веб», затем написала об этом новость для поднятия собственного чсв.

После чего на ЛОРе нашелся свой вася пупкин, который разоблачил компанию доктор веб, подняв чсв самому себе.

Gu4 ()
Ответ на: комментарий от Gu4

который разоблачил компанию доктор веб

в чём? в том, что они просто выполняют свою работу и гордятся этим?

подняв чсв самому себе

перед кем?

reprimand ★★★★★ ()
Ответ на: комментарий от Gu4

Ему не надо поднимать свое ЧСВ, у него одна аватарка чего стоит! ;)

Promusik ★★★★★ ()

и запахло «скачать бисплатна без смс» а потом sudo troyan.exe

haku ★★★★★ ()

Да уж, новость всем новостям новость. Троян, работающий только из-под рута. Их таких тысячи, чем этот выделяется?

Psych218 ★★★★★ ()

Ебюлды есть? На харденеде не сегфолтит?

init_6 ★★★★★ ()

Как собрать его в генте? Ебилды-то есть?

Zhbert ★★★★★ ()

линукс-ботнеты хочу

aegi ★★ ()

ахтунг! ахтунг!! очередная модификация пёрло-скрипта
все в машину!!!

amorpher ★★★★★ ()

Как сообщила компания Доктор Веб

Дальше читать смысла нет.

для работы требует прав root

Хотя нет, посмеяться то можно ))

Автор, зачем ты притащил это сюда?

mbivanyuk ★★★★★ ()

для работы требует прав root

Съесть-то он съест, да кто ж ему даст?

kernelgood ()
Ответ на: комментарий от kernelgood

Съесть-то он съест, да кто ж ему даст?

Уязвимости на веб-верверах?

Gu4 ()
Ответ на: комментарий от Gu4

Сервер, позволяющий левым программам запускаться из под root'a без ведома пользователя? Или рукопопый 0дмин, запускающий всякий левак от суперюзверя.
Пяточок, это какой-то неправильный сервер и какие-то неправильные 0дмины.

kernelgood ()

Лажа какая то. Да и похожий вирус, только для винды, давно по сети гуляет...

П.С. Ждём ебилдов.

Odalist ★★★★★ ()
Последнее исправление: Odalist (всего исправлений: 1)

для работы требует прав root
Каким образом троянец попадает на сервер и получает права для запуска не уточняется.

Все ясно, опять надо собирать и запускать от рута.

Каталоги и вовсе повеселили - как обычно, конечно же, никто не держит данные в других директориях, окромя дефолтных /var/www, и других. А бэкапы конфигов, конечно же, никто не держит.

Доктор Веб

Ага, тут совсем все стало ясно.

DeadEye ★★★★★ ()
Ответ на: комментарий от init_6

Ага, еще небось PaX-флаги не проставлены в бинарнике. xD

DeadEye ★★★★★ ()
Ответ на: комментарий от Psych218

А что насчет трояна, работающего без рута и шифрующего весь /home/user? Он сгодится?

cvs-255 ★★★★★ ()
Ответ на: комментарий от cvs-255

Нужен блокировщик рабочего стола, который будет выводить сообщение о том, что компьютер заблокирован из-за просмотра гей-порно.

Gu4 ()

Я, конечно, нуб, но всё же.

А смысл запускать такое поделие от рута? Большинство важной информации лежит в хомяке, даже /var/www/ обычно ссылается на папку в хомяке. Фоточки, профили, музыка и прочее важное для юзера файло лежит в хомяке. Систему с нуля поставить - вопрос пары часов максимум, ну, разве что тюнячки всякие много времени потребуют. Но для / на btrfs всегда есть снапшоты, в отличие от папки /home.

Да и вообще, самый продуктивный вирус будет вида «cd && rm -rf */», не?

ekzotech ★★★★ ()
Ответ на: комментарий от ekzotech

1. Оно, в теории, может использовать уязвимость apache и запуститься под рутом тебя не спрашивая.
2. Оно для того чтобы срубить бабла, а не грохнуть систему. Зашифровав терабайт твоей порнухи вряд ли получится заработать, а вот зашифровав базу данных твоего интернет-магазина - вполне.
3. Btrfs конечно хорошо, но как-то не встречал чтобы разворачивая сервер в облаке меня спрашивали, какую я хочу файловую систему.
4. Целевая аудитория этого поделия такая же как у аналога под винду - это эталонные ленивые ССЗБ с паролем qwerty123, которые не обновляют ПО и не делают бекапов.

Gu4 ()
Ответ на: комментарий от Gu4

Ну, запуститься под рутом сложнее, чем от имени юзера, не?

И потом опять же - скорее всего все данные будут лежать в каталоге юзера же. По крайней мере мне несколько раз попадались подобные хостинги.

ekzotech ★★★★ ()
Ответ на: комментарий от ekzotech

Вопрос: из под какого из юзеров? Криптор в новости какбэ для серверов

energetix_user ()

шифрует файлы с определенными расширениями
содержимое каталогов

Виндузяцкая вонь за версту чувствуется.

Получить данные обратно без приватного ключа практически невозможно.

Эта новость попала на лента.ру, там говорится о том, что в лаборатории просят присылать зашифрованные файлы, что как бы намекает нам...

Encription was produced

Это чисто русская калька с «Шифрование произведено», не говоря уже об орфографии.

для работы требует прав root

А жаль, я думал, ЛК - дно. Оказывается, у них есть конкуренты. Опять не освоили стандартные права...

denton ★★★★★ ()

рут, рут...
когда местным уважаемым снобам или их дружкам зашифруют хомяк с файлопомойкой, снобизма дюже поубавится

kott ★★★★★ ()
Ответ на: комментарий от Gu4

1. Оно, в теории, может использовать уязвимость apache и запуститься под рутом тебя не спрашивая.

А кто апачу рут даст? А если помимо уязвимости веб-сервера в системе есть ещё и дыры privilege escalation, то это решето, а не система. В реальности этого избежать очень просто, достаточно вовремя обновляться.

Wizard_ ★★★★★ ()
Последнее исправление: Wizard_ (всего исправлений: 1)

Таки подтвердили. Жеваный стыд!

r_asian ☆☆☆ ()
Ответ на: комментарий от reprimand

По-моему довольно забавная новость.

Bthw, права рута в принципе получаются через разные удаленные и локальные уязвимости. Эта штука может работать в паре со скриптом, который брутит SSH, ищет дырки и т.п.

Shaman007 ★★★★★ ()
Ответ на: комментарий от denton

в лаборатории просят присылать зашифрованные файлы, что как бы намекает нам..

есть небольшой шанс найти ключ, если есть исходный файл и нексолько вариантов шифротекста. Может у них своя реализация AES и в ней ошибки?

Shaman007 ★★★★★ ()

Как сообщила компания Доктор Веб, ею был создан троян-шифровальщик для операционной системы GNU/Linux, внесенный в базу компании как Linux.Encoder.1.

hot fix

weare ★★ ()
Ответ на: комментарий от Shaman007

Плюсую шамана. Сразу вспомнилась неплохая дырка (уже прикрыта, но не все обновились) во freepbx где можно было прямо последовательность команд давать в вебморду и следующим входом в систему админ их все сам и запустит

upcFrost ★★★★★ ()
Ответ на: комментарий от kott

когда местным уважаемым снобам или их дружкам зашифруют хомяк с файлопомойкой, снобизма дюже поубавится

Слышу подобные пророчества уже второй десяток лет, но все никак почему-то.

dexpl ★★★★★ ()

Ну круто.
У вендузятников експлорер вываливает картинку «ты смотрел прон и поэтому виноват, дай денег». Теперь у люнихоидов апач будет вываливать страничку «ты хостил прон, ...»
Как там всемирно признанные лоровские профессионалы в области защиты локалхоста от мамы, уже погыгыкали с фразы «требует рута»?

thesis ★★★★★ ()
Ответ на: комментарий от Gu4

зашифровав базу данных твоего интернет-магазина - вполне.

Система, к которой кто-то получил доступ, уже скомпрометирована, и не нуждается в восстановлении/расшифровке. Ни кто не даст гарантию целостности данных после расшифровки. Тут только восстанавливать из резервной копии.

Black_Shadow ★★★★★ ()

Эта штука пишется кем угодно после чтения манов по bash, curl, openssl и find. В виде скрипта на том же баше. Можно даже в один экран текста уместиться.

imul ★★★★★ ()
Ответ на: комментарий от Shaman007

права рута в принципе получаются через разные удаленные и локальные уязвимости

Если «через разные удаленные и локальные уязвимости» можно получить рута, то уже не столь важно, какой именно скрипт будет издеваться над данными системы, пусть даже знаменитый однострочник на перле. Другое дело, что рута получить крайне сложно, и внимание обращать нужно прежде всего на это.

Wizard_ ★★★★★ ()

1 bitcoin(s) (~420 USD)

Любопытно. Не припомню что бы биток на $400 когда-то долго задерживался.

dmiceman ★★★★★ ()

Троянец нацелен, в первую очередь, на веб-серверы, админы которых не делают бекапы и не следят за бюллетенями безопасности на предмет рут-дырок. Это, например, я, но я обещаю исправиться.

Капча весьма философская: 4242.

anonymous ()

Странный какой-то вирус. Вроде пишут что нацелен на сервера, а по поведению больше похоже, что нацелен на рядового пользователя и его хомяк. Непонятное поделие в общем.

WARNING ★★★★ ()

для работы требует прав root

Если запустить без рута он не перешифрует все, до чего дотянется (~ например)? Просто не будет никаких попыток предпринимать?

alozovskoy ★★★★★ ()

Сборки под armhf есть?

ncrmnt ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.