Ransomware napadá Linuxové servery
Odborníci v antivirové společnosti Dr. Web narazili na nový šifrovací Ransomware, označován jako Linux.Encoder.1. Ten má za cíl počítače s Linuxovým operačním systémem.
V tomto okamžiku není přesně jasné, jakým způsobem je malware distribuován a nainstalován na počítači oběti. Ale dle odborníků hrozba vyžaduje oprávnění správce, aby mohla fungovat. Při napadení počítače oběti dochází ke stažení několika souborů obsahující požadavky útočníka a jednoho souboru obsahujícího veřejný RSA klíč, který slouží k ukládání AES klíče pro šifrování souborů.
Podle odborníků malware šifruje soubory uložené v domovských a kořenových adresářích. Také napadá složky související s webovými servery a administrativou obsahující:
- /var/lib/mysql
- /var/www
- /etc/nginx
- /etc/apache
- /var/log
- public_html
- www
- webapp
- backup
- *.git a *.svn
Linux.Encoder.1 se zaměřuje na zdrojové kódy webových stránek, dokumenty, aplikace a mediální soubory.
V každém adresáři obsahující šifrované soubory, by oběť měla nalézt soubor README_FOR_DECRYPT.txt s požadavkem výkupného. Oběti jsou pro získání svých dat vyzváni k zaplacení jednoho Bitcoinu (což je zhruba $380 při dnešním kurzu).
Podle CSIRT.CZ již ransomware infikoval minimálně tisíc počítačů. Přestože tento druh malware využívá šifrovací algoritmy, které je nemožné zlomit, měli by být odborníci schopni získat potřebné klíče pro obnovení ztracených souborů.
Zdroj: csirt.cz
