LINUX.ORG.RU

Обнаружен троян-шифровальщик для Linux

 ,


3

3

Как сообщила компания Доктор Веб, был обнаружен троян-шифровальщик для операционной системы GNU/Linux, внесенный в базу компании как Linux.Encoder.1. Зловред написан на языке С с использованием библиотеки PolarSSL и для работы требует прав root. Троянец запускает себя как демон и удаляет свой исходный файл, затем шифрует содержимое каталогов:

/home
/root
/var/lib/mysql
/var/www
/etc/nginx
/etc/apache2
/var/log
После этого Linux.Encoder.1 начинает рекурсивный обход содержимого файловой системы и шифрует файлы с определенными расширениями. Исходя из этой информации можно сделать вывод, что троянец нацелен, в первую очередь, на веб-сервера. Шифрование осуществляется по алгоритму AES. Сгенерированные AES-ключи шифруются используя RSA. Получить данные обратно без приватного ключа практически невозможно. В каждом каталоге с зашифрованными файлами располагается текстовый файл с требованиями создателей. Содержимое файла:

Your personal files are encrypted! Encription was produced using a unique public key RSA-2048 generated for this computer.
To decrypt files you need to obtain the private key.
The single copy of the private key, which will allow to decrypt the files, located on a secret server at the Internet. After that, nobody and never will be able to restore files...
To obtain the private key and php script for this computer, which will automatically decrypt files, you need to pay 1 bitcoin(s) (~420 USD).
Without this key, you will never ba able to get your original files back.

В конце файла размещается ссылка на ресурс в сети Tor, где можно получить приватный ключ для расшифровки файлов после оплаты. Требуемая сумма составляет 1 биткоин (примерно, 420 USD).
Каким образом троянец попадает на сервер и получает права для запуска не уточняется.

>>> Подробности



Проверено: Shaman007 ()

Ответ на: комментарий от alozovskoy

Чего это? Он просто будет пропускать каталоги, на которые у него прав не хватает, и валить ошибки в терминал. Никогда не пробовал сделать рмрф/, что ли?

anonymous ()

для работы требует прав root.
Каким образом троянец попадает на сервер и получает права для запуска не уточняется.

Срочная новость: компания др Веб обнаружила уязвимость в бытовой косе: оказывается, ей можно отрезать себе яйца.

morse ★★★★★ ()
Ответ на: комментарий от morse

А хороший менеджер думает в первую очередь, что косой можно отрезать яйца другим.

anonymous ()
Ответ на: комментарий от anonymous

Может там в первых строках что-то вроде «if `id -u` != 1: exit 1». Если нет - не стоит говорить что для работы нужен root.

alozovskoy ★★★★★ ()
Последнее исправление: alozovskoy (всего исправлений: 1)
Ответ на: комментарий от alozovskoy

Да просто он на перле написан (олдскул, ага), а в начале у него прописана установка собственно перла.

anonymous ()
Ответ на: комментарий от dexpl

Слышу подобные пророчества уже второй десяток лет, но все никак почему-то.

Чего никак? Новость как раз про обратное.
Не пишут подробно про способ распространения, пока скорее всего через дыры в LAMP-e. Но это до поры. С появление steam machines будут «форумы» с ботами кидающие ссылки на «фиксящие баги в игрушках» скрипты.

kott ★★★★★ ()
Ответ на: комментарий от kott

Угу. И будут они, болезные, искать себе место, куда можно сохраниться и откуда при том можно запуститься.

anonymous ()
Ответ на: комментарий от kott

Новость как раз про обратное.

Новость про исключительно дырявые веб-серверы. Насколько я понял, говоря про "хомяк с файлопомойкой", ты подразумевал десктопы (если понял неправильно, извиняй).

dexpl ★★★★★ ()
Ответ на: комментарий от anonymous

И будут они, болезные, искать себе место, куда можно сохраниться и откуда при том можно запуститься.

а в чём проблема? далеко не у всех ~/ noexec (что, как известно, не панацея) и у ещё меньшего количества он в ридонли ;)

kott ★★★★★ ()

1 биткоин!

Требуемая сумма составляет 1 биткоин

Ура, наконец-то биткоин стал самостоятельной валютой, а не как до этого, когда есть возможность расплатиться биткоинами, но цена установлена в евро или долларах. Хе-хе.

Camel ★★★★★ ()
Ответ на: комментарий от dexpl

ну эт до поры, пока ещё работает защита неуловимого Джо
я бы и рад ошибаться, но против человеческого уродства и жажды до наживы так просто не отмашешься

kott ★★★★★ ()
Ответ на: комментарий от kott

На стим-машинах оно именно так и есть. И именно по этой причине.

anonymous ()
Ответ на: комментарий от kott

Не пишут подробно про способ распространения

Это как раз и есть самое интересное. Вообще, если на комп пробирается программа, которой там быть не должно, да еще и запускается... надо прикрывать дыру, через которою оно лезет и запускается.

Искать и убивать потом вредоносные проги - это уже ерунда какая-то а не защита.

anonymous ()

Как уже сказано, самое интересное «уважаемая» компания Dr. Web решила промолчать - а именно, про способ распространения и про способ получения рута.

Хотя, общие тенденции - вирусни становится больше. Да, она тупа, аки пробка и особо опасности пока не представляет. Но и Windows-зловреды долгое время были не особо умнее.

CaveRat ★★ ()

Вирус - это этот ваш линукс. А это вот, значит, антивирус.

anonymous ()

Где эту бяку можно скачать и дать ей права рута? Хочу потестить... хочу запилить видюху на ютуб на тему «в ваших люниксах тоже вирусня есть, ко-ко-ко».

Desmond_Hume ★★★★★ ()

Каким образом троянец попадает на сервер и получает права для запуска не уточняется.

Пароль на серверах должен быть посильнее нежели 123456qwerty.

Amet13 ★★★★★ ()

Очередной вирус «Талибан»? :)
В принципе, определённая опасность есть (не все же дистры проверяют цифровые подписи пакетов!), но вот это «требует root»... на Линуксе это смешно.

matumba ★★★★★ ()
Ответ на: комментарий от alozovskoy

Если запустить без рута он не перешифрует все, до чего дотянется (~ например)?

Он грустно сядет в углу и выведет в консоль «с тобой неинтересно!».

matumba ★★★★★ ()

Доктор решил попиариться в сми и покошмарить доможозяек? Видимо у них там совсем всё плохо раз они рекламируются для линуксов, или ребята начали осваивать новый рынок? Такие пугалки уже лет 10 периодически всплывают. И везде одно и то же, нужны права, библиотеки и домохозяйка перед монитором. Которая сидит из под рута, из под него же запускает черти что, не удосуживается настройкой безопасности и созданием бекапов. Прокладка между монитором и стулом самый опасный и зловред какой только можно придумать.

anonymous ()
Ответ на: комментарий от matumba

не смешно, если учесть, что на веб серверах можно получать local root. Насчет вирусов у линукса вообще беда. Вот скажи, есть в rkhunter слепки против определенного кол-ва троянов. Где найти сорсы этих самых троянов ? Окей, сорсов нет. Где найти сами тела этих троянов, чтобы можно было их покрутить ?

bryak ★★★ ()
Последнее исправление: bryak (всего исправлений: 1)
Ответ на: комментарий от anonymous

У доктора все хорошо, в отличие от остальных, дешифраторы, хоть и по запросу, высылают под офтопик. Странно злорадствовать, когда вас просто предупреждают, что активность нарастает, пусть и так коряво пока. Это вопрос времени.

anonymous ()
Ответ на: комментарий от anonymous

О чем предупреждают? О том что если зарядить ружье, направить его в ногу и сделать выстрел то ногу таки прострелишь? Ладно бы оно пыталось какие-то известные уязвимости эксплуатировать (ничего что они закрыты, вдруг попадет на машину без обновлений), а так в штат дрвеба можно нанять школьника, который им на bash будет писать всякие штуки, и потом писать новости «Обнаружен очередной зловред!! запустил от рута и <...>!!»

alozovskoy ★★★★★ ()
Ответ на: комментарий от alozovskoy

Толсто. Нет драгоценный, это о том, что линукс становится интересен не очень добрым людям. И освоят, найдут, откопают.

anonymous ()
Ответ на: комментарий от templarrr

Кто эту награду хочет кому-то дать?

поддерживаю! тоже первый раз слышу.

Расскажите, что за награда в 100 000 $ ?

CAHO ()
Ответ на: комментарий от kernelgood

Многоходовочка жи! Сначала ломаем сервер для запуска кода, запускаем эксплоит который позволит получить права рута, запускаем шифровалку, имеем профит.

А всё почему? SELinux осилять надо было!

Dark_SavanT ★★★★★ ()
Ответ на: комментарий от anonymous

Они не предупреждают, а рекламируются. Создали какой-то скриптик для запуска из под рута и раздули по всем сми. И теперь показывают что мол какие они молодцы, бдят. Неудивлюсь если через неделю они оповестят всех, что создали против этого «вируса» дешифратор и с широкой барской руки раздают его всем пострадавшим. А у народа в головн промелькнёк что то нипа: «Ну надоже какие молодцы, видимо и антивирус у них суперзамечательный, который нужно обязательно купить.» Реклама да и только.

anonymous ()

От неумелых пользователей (как я) линукс быстрее развалится, чем от вирусов)))

oblepiha_pie ()
Ответ на: комментарий от Dark_SavanT

в centos и fedora этому поделию из-за selinux сразу делать нечего. энкодеры под винду вообще ощущение что они сами и клепают.

erzentd ()
Ответ на: комментарий от anonymous

бред не бред, а большая часть юзверей на винде, именно так и выбирают антивирус, смотрят кто больше сделал статей, и чьи больше понравились.

erzentd ()
Ответ на: комментарий от erzentd

нет, те ставят из репозитория, а любители несвежего редхата ставят со всяких бомжатников

anonymous ()
Ответ на: комментарий от erzentd

Очевидно, что это заговор Red Hat и Dr.Web.

anonymous ()
Ответ на: комментарий от ekzotech

Фоточки, профили, музыка и прочее важное для юзера файло лежит в хомяке.

Вот ешкин кот, а я то данные на отдельном разделе храню.. Пойду срочно переписывать их в хомяк...

sniper21 ★★★★★ ()
Ответ на: комментарий от erzentd

его, как правило, никто не настраивает, а отключает, чтобы не мешалось

anonymous ()
Ответ на: комментарий от erzentd

Так это во всём так. Если бы это не работало, то и рекламы бы не было.

anonymous ()
Ответ на: комментарий от WARNING

Странный какой-то вирус

На маршрутизаторы его. Самое то. У большинства логин admin и пароль admin.
Шифруй не хочу!

vada ★★★★★ ()
Ответ на: комментарий от anonymous

видимо я индивид. мне как гнатенко гайд скинул, я с тех пор настраиваю.

erzentd ()

Распространяется под GPL или проприетарщина? Можно ли его добавить в Linux-libre?

anonymous ()

Я тоже такое могу написать и еще кучу подобного говна, а кто это запускать от рута будет и вообще запускать левый бинарник??? Тоже мне мега прога хоть бы баги задействовали для получения этих самых полномочий...

LinuxDebian ★★★★ ()
Ответ на: комментарий от WARNING

Странный какой-то вирус

Оно не умеет плодится — не вирус... Запускать нужно от рута — не троян...

И того: не пойми что...

LinuxDebian ★★★★ ()
Ответ на: комментарий от LinuxDebian

Так возьми и запили. Это же опенсурс.

anonymous ()

Вообщем компания Доктор Веб пропиарилась на том, что нашла то, что сама и написала, забавно.

LinuxDebian ★★★★ ()
Последнее исправление: LinuxDebian (всего исправлений: 1)
Ответ на: комментарий от LinuxDebian

Запросто, просто пропихни его в репозитории в составе мне нужного.

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.