LINUX.ORG.RU

Обнаружен троян-шифровальщик для Linux

 ,


3

3

Как сообщила компания Доктор Веб, был обнаружен троян-шифровальщик для операционной системы GNU/Linux, внесенный в базу компании как Linux.Encoder.1. Зловред написан на языке С с использованием библиотеки PolarSSL и для работы требует прав root. Троянец запускает себя как демон и удаляет свой исходный файл, затем шифрует содержимое каталогов:

/home
/root
/var/lib/mysql
/var/www
/etc/nginx
/etc/apache2
/var/log
После этого Linux.Encoder.1 начинает рекурсивный обход содержимого файловой системы и шифрует файлы с определенными расширениями. Исходя из этой информации можно сделать вывод, что троянец нацелен, в первую очередь, на веб-сервера. Шифрование осуществляется по алгоритму AES. Сгенерированные AES-ключи шифруются используя RSA. Получить данные обратно без приватного ключа практически невозможно. В каждом каталоге с зашифрованными файлами располагается текстовый файл с требованиями создателей. Содержимое файла:

Your personal files are encrypted! Encription was produced using a unique public key RSA-2048 generated for this computer.
To decrypt files you need to obtain the private key.
The single copy of the private key, which will allow to decrypt the files, located on a secret server at the Internet. After that, nobody and never will be able to restore files...
To obtain the private key and php script for this computer, which will automatically decrypt files, you need to pay 1 bitcoin(s) (~420 USD).
Without this key, you will never ba able to get your original files back.

В конце файла размещается ссылка на ресурс в сети Tor, где можно получить приватный ключ для расшифровки файлов после оплаты. Требуемая сумма составляет 1 биткоин (примерно, 420 USD).
Каким образом троянец попадает на сервер и получает права для запуска не уточняется.

>>> Подробности



Проверено: Shaman007 ()

Ответ на: комментарий от LinuxDebian

Имеются сообщения о том, что эта фигня найдена на реальных серверах. Ты готов ответить за свои слова и свидетельствовать, что Doctor WEB нарушает 273 статью УКРФ или сольёшься?

x3al ★★★★★ ()
Ответ на: комментарий от LinuxDebian

Да всем известно, что линуксоиды настолько убоги, что даже нормальных вирусов и троянов для своей системы написать не могут. Ось для домохозяек: поконпелять ядро в перерывах между борщом и бигудями.

anonymous ()
Ответ на: комментарий от x3al

А что это ты так кинулся защищать пропориентарного трояна под названием «антивирус дв»?

Ты готов ответить за свои слова и свидетельствовать, то Doctor WEB нарушает 273 статью УКРФ или сольёшься?

Сольюсь конечно! Зачем мне это нужно?

LinuxDebian ★★★★ ()
Ответ на: комментарий от LinuxDebian

Что значит «защищать»? Тут полный тред школьников и клоунов, смеющихся над словом «рут» и несколько психов, считающих, что антивирусные компании пишут вирусы.

x3al ★★★★★ ()
Ответ на: комментарий от reprimand

По-русски ЧСВ будет гордость или гордыня, балбес. ЧСВ - это неграмотный перевод бредовых книжек одного писателя Сидерским. Писатель - тоже не оригинал, сплагиатил с одного специалиста по индейцам в том регионе. Не употребляй эту убогость, не позорься.

P.S. По теме: под Linux полно вирусов, т.к. никто не из производителей планшето-телефонов на Android не обновляет свои прошивки с новыми ядрами, в которых закрыты дыры, пример: http://www.i-programmer.info/news/193-android/9071-study-finds-87-of-androids... Windows - гораздо более безопасная система по сравнению с Linux. И это не мое мнение, что-то в этом роде говорил Касперский в своем интервью.

l ()
Ответ на: комментарий от vada

На маршрутизаторы его. Самое то. У большинства логин admin и пароль admin.

Из них и без того дофига ботнетов собрано, причём не всегда нужны логин/пароль: практически у всех производителей SOHO-железок в стоковой прошивке — бэкдоры, некоторые можно юзать снаружи.

x3al ★★★★★ ()
Ответ на: комментарий от x3al

А скажи мне, неужели такое «крутое» ПО, заслуживает внимания? Чем закинули непонятно, причем под рутом! А именно это самый важный вопрос, так как этот субъект имел полный доступ на определенное время в серверу... А прога эта не ТРОЯН, а просто УТИЛИТА для рекурсивного шифрования. Она в топе видна? Скрипт который чекает запущенные процессы и убивает чужие ее увидит? Ну если нет то ладно соглашусь троян.

LinuxDebian ★★★★ ()
Последнее исправление: LinuxDebian (всего исправлений: 1)
Ответ на: комментарий от LinuxDebian

А скажи мне, неужели такое «крутое» ПО, заслуживает внимания?

Пока в вебе столько дырявого вордпресса — да.

А прога эта не ТРОЯН, а просто УТИЛИТА для рекурсивного шифрования.

Придирайся к топикстартеру.

Скрипт который чекает запущенные процессы и убивает чужие ее увидит

ЩИТО? Где ты такие скрипты видел и какой идиот занимается подобным костылянием?

x3al ★★★★★ ()
Ответ на: комментарий от x3al

Имеются сообщения о том, что эта фигня найдена на реальных серверах. Ты готов ответить за свои слова и свидетельствовать, что Doctor WEB нарушает 273 статью УКРФ или сольёшься?

Неплохо так вывернулся мехом внутрь, зачот :-)

Deleted ()
Ответ на: комментарий от l

говорил Касперский в своем интервью

Да ты что, сам Каперский? Вот это да! Серьезный аргумент!

anonymous ()
Ответ на: комментарий от x3al

Пока в вебе столько дырявого вордпресса — да.

Я объясняю еще раз: не важно функциональность этого ПО, важно как он туда попало и больше ничего. Закрой эту дыру и спи спокойно до следующей. Тема должна была называться по другому: «Предположительно замечена неизвестная уязвимость в конкретном ПО севака позволяющая получить полный контроль над ним». Я не считаю это пустяком, я вижу бесполезный пиар ДВ. Они говорят мы нашли файл который кто-то, как-то подкинул. Да пофиг что за файл и что он делает, хоть admin_lox.txt важен факт взлома...

LinuxDebian ★★★★ ()
Ответ на: комментарий от LinuxDebian

Закрой эту дыру и спи спокойно до следующей.

Дофига сайтов на том же wordpress с плагинами, не умеющими в новые версии. Обновлять их — затратно, а как ещё будешь закрывать дыры?

Напоминаю: wordpress — 24% всех сайтов.

x3al ★★★★★ ()
Ответ на: комментарий от x3al

только вот посещаемость у этих сайтов низкая, и они нафиг никому не нужны.

erzentd ()

Хм, root ему... Может, ему ещё и рантайм какой-нибудь поставить?

gigamax ★★ ()

Хоспадя, такая какашка пишется за 5-10-15 минут, суть не в том что она есть.

Каким образом троянец попадает на сервер и получает права для запуска не уточняется.

Вот если бы сказали что действительно есть лазейка через которую можно выполнить код от рута то вот это была бы новость.

МАРКЕТИНГОВАЯ ШИШКА БЕЗ ОРЕХОВ!

Доктор Веб прекрати народ пугать, а ведь теперь продажи подрастут да?

Dron ★★★★★ ()
Ответ на: комментарий от reprimand

70% хостингов на которые направлен троян админятся рукожопами.

Thero ★★★★★ ()
Ответ на: комментарий от x3al

Да не суть, она могла и вручную туда быть вбита. Никто не спорит что оно где то-то есть (опять же допустим). Да и не значит это ничего нуль,NULL,/dev/zero. Не надо делать акцент на кукле с ножами, а надо смотреть на кукловика. Как оно попадает то в сервера? Вернее как от этого можно защититься? Вот вопросы.

Dron ★★★★★ ()
Последнее исправление: Dron (всего исправлений: 1)
Ответ на: комментарий от Wizard_

Ну как, вообще - да, но больше средств автоматизации - больше скрипт-кидди - больше инцидентов. Плюс кровавый энтерпрайз, где у каждой инсталляции приложения свое никогда не обновляемое ВСЕ. Плюс непонятные образы докера «от Васяна, с явой, KDE и томкатом», куда эту приблуду, отложенную на год по крону, очень весело бы встроить.

Я бы не сказал, что новость какая-то сногсшибательно удивительная, но достаточно интересная. Вон уже сколько комментариев накомментировали.

Shaman007 ★★★★★ ()
Ответ на: комментарий от l

По-русски ЧСВ будет гордость или гордыня, балбес.

балбес твоя мамаша
пойди загугли что такое ЧСВ. Гордость, гордыня, ЧСВ - схожие, но НЕ идентичные понятия.

под Linux полно вирусов, т.к. никто не из производителей планшето-телефонов на Android не обновляет свои прошивки с новыми ядрами

Жир из экрана полез. Что такое linux? Это ядро. А что такое Android? Это ОС. ОС не обновила ядро? Хм, кто же тут виноват... точно, во всём виновато ядро!!
Т.ч. отвечу твоими же словами:

Не употребляй эту убогость, не позорься.



Windows - гораздо более безопасная система по сравнению с Linux. И это не мое мнение, что-то в этом роде говорил Касперский в своем интервью.

так бы и начал с касперского, я бы не читал дальше твой высер

reprimand ★★★★★ ()
Ответ на: комментарий от Thero

70% хостингов на которые направлен троян админятся рукожопами.

Да, я знаю. Пока в голову таким рукожопам не ударить они ничего не сделают.

reprimand ★★★★★ ()

Вы не поверите, но запуск `rm -rf /' от рута тоже может навредить. Покупайте антивирус Дохтор Веб что-бы обезопасить себя от ужасного вируса Linux.rm.1

vcore1v ()

Фиг с ним, с рутом. Задеть ~ - этого уже достаточно. Вопрос в том, подо что замаскируют исполняемый файл и с каким намерением его запустят.

slony ()

Уважаемые форумчане, скажите пожалуйста, какие флаги в конфиге ядра нужно проставить, чтобы заработало? Я скачал, не работает. Пробовал обновляться, не помогает. Логов не ведет, подробнее сказать не могу. strace ничего не дал. Заранее благодарен за любую помощь.

cdshines ★★★★ ()
Последнее исправление: cdshines (всего исправлений: 1)
Ответ на: комментарий от WARNING

Непонятное поделие в общем.

Радосно сообщаю вам, что ведущий сексопатолог ЛОР'а профессор А.Обкантукинен, любезно согласился прочесть лекцию на тему «Куннилигус в черном бумере и апределенные аспекты полового воспитания молодежи». Задавайте профессору вопросы, по окончанию лекции он обещал устроить прения.

Odalist ★★★★★ ()
Ответ на: комментарий от reprimand

Какой-то вася пупкин написал некий зловред

«компания Доктор Веб» же.

t184256 ★★★★★ ()
Ответ на: комментарий от reprimand

балбес твоя мамаша
пойди загугли что такое ЧСВ. Гордость, гордыня, ЧСВ - схожие, но НЕ идентичные понятия.

Дурашка. Читал как-то давно оригиналы того бреда, откуда в 90-е - начале 2000-х родилось на пустом месте это понятие. Еще раз тебе повторяю, что это одно и то же. И вместо бредовых книжек американских писателей-плагиаторов и остальных их многочисленных подражателей, лучше почитать что-то пофундаментальней, - те же работы святых отцов типа Добротолюбия. Дурака, кстати, всегда видно за версту. Но когда дурак еще и кичится своим «умом», то это уже клиника. А трогать моих родственников не нужно.

Жир из экрана полез. Что такое linux? Это ядро. А что такое Android? Это ОС. ОС не обновила ядро? Хм, кто же тут виноват... точно, во всём виновато ядро!!

Это ты для себя ликбезом занялся? Андроид - это андроидизированное ядро + дистрибутив от Google, который называется AOSP, т.е. свое пространство пользователя. Так вот, да, ПРОИЗВОДИТЕЛИ планшетов и телефонов не обновляют в своих прошивках ядра. Срок поддержки производителями своих устройств на Андроиде обычно не превышает 1-2 лет. Более того тебе скажу, срок поддержки ядер Linux обычно что-то около 2-3 лет (См. «Longterm release kernels» https://www.kernel.org/category/releases.html) , в винде же дыры безопасности закрываются куда как дольше. Точно так же не обновляются (по факту) прошивки даже не производителями, а администраторами или пользователями большого числа других устройств на Linux, например, маршрутизаторов и т.п. А дырявое ядро - это тебе никакой антивирус уже, как правило, не сможет помочь. Там и повышение привилегий может быть и все прочее. О чем тебе как бы и намекали в теме.

так бы и начал с касперского, я бы не читал дальше твой высер

В чем у тебя состоят половые трудности по отношению к Касперскому? Нет профильного образования по теме? Не работал в индустрии, связанной с безопасностью? И, конечно же, юношеский максимализм и эгоизм, который ты зовешь по-глупости своей «ЧСВ»?

l ()
Ответ на: комментарий от Gu4

1. Оно, в теории, может использовать уязвимость apache и запуститься под рутом тебя не спрашивая.

Это в каком это дистрибутиве апач по умолчанию от рута работает?

Axon ★★★★★ ()
Ответ на: комментарий от Thero

70% хостингов на которые направлен троян админятся рукожопами.

Так то же самое можно и про вендовирусы сказать. Там даже 95% рукожопых юзеров будет, которые вирусы с троянами ловят.

Loki13 ★★★★★ ()
Ответ на: комментарий от l

Windows - гораздо более безопасная система по сравнению с Linux. И это не мое мнение, что-то в этом роде говорил Касперский в своем интервью.

Лень искать, но лет так 7-8 назад (примерно) была статья того же Касперского, где он доказывал, что Linux-ы (Unix-ы) безопаснее винды by desing. А не потому что менее распространены.

Ссылка на авторитет - не лучший аргумент, а в данном случае - вообще никакой.

anonymous ()
Ответ на: комментарий от Loki13

увы и ах но нет. виндовый вирус, нормальный, даже плевал на админские права и тд, даже у бабы, у которой запрещены exe и тд, и вообще автозапуск, некоторые виды энкодеров легко зашифруют всё, и ещё с её подачи это сделают на сервере, причём не только в самой шаре, но ещё и в остальных директориях.... а всё что надо, открыть письмо в аутлуке с ним и скачать документ. даже открывать не надо. после перезагрузки система сама всё сделает.

erzentd ()

Хоспаде, только сейчас внимательно прочитал текст, который оставляет этот «троян».

To obtain the private key and php script for this computer

Думаю для школоло, написавшего этот чудо-троян, будет большим сюрпризом появление в его уютной комнатке группы захвата при полном параде. Надеюсь, видео они выложат

WARNING ★★★★ ()
Ответ на: комментарий от WARNING

если бы за каждым таким приежала группа захвата, то уже бы была тюрьма тыс за 100 чисто с ними.

erzentd ()

Что за бред в новости? Этот троян работает под любым пользователем, под которым смог пролезть на сервер. К тому же ему не важно Linux это или FreeBSD. У себя на фре его ловил, когда клиент загрузил дырявый сайт написанный на php. Благо ZFS снапшоты спасли. К тому же этот вирус появился месяца 3 назад.

iron ★★★★★ ()
Ответ на: комментарий от WARNING

Где связь между пыхом и школоло?

anonymous ()
Ответ на: комментарий от erzentd

Не, обычно такие пишут какую-нибудь ерунду, нацеленную на таких же идиотов как и они сами. А тут другой случай. Тут цель - бизнес. Соответсвенно, и ущерб уже можно в иске заявить со многими нулями, а это уже в особо крупном. А т.к. очень похоже, что об анонимности в сети автор поделия знает только из Вики, да и то полностью статьи не осилил, то вычислить его не так уж и сложно. А кто из правоохранителей в любой стране мира откажется от халявной и жирной палки? Так что думаю этого найдут, если будут реальные пострадавшие.

WARNING ★★★★ ()
Последнее исправление: WARNING (всего исправлений: 1)
Ответ на: комментарий от anonymous

Использование php там где его нет вообще ни одной причины использовать, кроме как «я больше ничего не знаю», это разве не оно?

WARNING ★★★★ ()
Последнее исправление: WARNING (всего исправлений: 1)
Ответ на: комментарий от anonymous

Лет 7-8 назад не было такой россыпи устройств на Андроиде и тогда, наверное, действительно, Linux казался безопаснее. По факту же обновления безопасности в винде осуществляются уже на автомате (что, конечно, может использоваться при закачке липовых обновлений с левых сёрверов, но все же). В большинстве случаев это все же работает для большинства домохозяек (если атака на систему не выполняется какими-нить специализированными структурами, создавшими Stuxnet и т.п.), поскольку таким структурам все же невыгодно оставлять дыры в своих же государственных и корпоративных структурах (они и кучу заплаток присылают, как ни странно).

Я не являюсь специалистом в области компьютерной безопасности, поэтому вынужден опираться на других специалистов в области - Касперского (ИБ), Торвальдса (ОС) и других. Можно, конечно, пытаться специализироваться сразу во всем и ни в чем одновременно, тогда авторитеты будут ни к чему.

l ()
Ответ на: комментарий от erzentd

Ты ещё скажи что венда ап-ту-дэйт. В то что такое возможно на пиратской венде, которая со времён царя гороха не обновлялась - верю, а в то что актуальная уже не очень.

Loki13 ★★★★★ ()
Ответ на: комментарий от WARNING

С чего вы взяли, что нет причин использовать? Может у автора были свои рассуждения на этот счёт, всё же он и на С тот скриптец тоже мог бы написать.

anonymous ()

PolarSSL

антиреклама опенсурса

arcanis ★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.