Изображение: Kaspersky Lab

Ransomware, или программы-криптовымогатели, уже давно известны. Это ПО шифрует данные пользователей, требуя затем оплаты за предоставление секретного ключа, позволяющего расшифровать данные. Оплата обычно производится в биткоинах, а само ПО атакует компьютеры под управлением Windows. Но все течет, все меняется, и теперь криптовымогатели атакуют и сервера с размещенными на них сайтами пользователей, шифруя файлы, изображения и все прочие данные на сервере. Ранее мы уже рассказывали о программе-криптовымогателе, который шифрует пользовательские файлы в «оффлайне», а так же о новых методах шантажа пользователей.

Новый криптовымогатель, названный “Linux.Encoder.1”, был выявлен Dr.Web. Целью этого ПО являются сервера под управлением Linux. Интересно, что программа практически не определяется антивирусами, Virustotal.com выдает нулевое обнаружение.

Malware обычно атакует сайты, используя известные (или не очень) уязвимости CMS, отдельных плагинов и скриптов. В случае с Linux.Encoder.1 дело обстоит именно таким образом. Как только зловред попадает на сервер, все файлы в директории «home» шифруются, равно как и все бекапы, которые обнаруживает программа. Системные папки и файлы также шифруются.

Стоит напомнить, что ransomware — весьма прибыльный бизнес. Только CryptoWall стал причиной убытков бизнеса и частых лиц (известные случаи) на сумму в $18 миллионов. Общая же сумма убытков компаний и пользователей в результате деятельности такого рода ПО достигает сотен миллионов долларов США.

Что касается Linux.Encoder.1, то еще 4 ноября с этим зловредом столкнулся профессиональный веб-дизайнер Дэниел Макадар (Daniel Macadar). Его сервер был атакован этим зловредом, после чего специалист получил сообщение следующего характера: «Для получения секретного ключа и php скрипта для этого сервера, который автоматически расшифрует данные, вам нужно заплатить 1 биткоин. Без ключа вы никогда не сможете получить свои файлы обратно».

Макадар сообщил, что этот криптовымогатель атаковал не только его веб-сервер, но и севера его друзей. Linux.Encoder.1 вывел из строя сайты, которые размещались на указанных машинах. При этом жертве пришлось заплатить, выбора не было. Интересно, что с Bitcoin Макадару ранее дело иметь не приходилось, так что некоторое время заняла установка соответствующего ПО с поиском методов конвертации налички в криптовалюту.

По словам Макадара, после оплаты все прошло гладко, и все файлы были расшифрованы. Правда, после этого не все работало так, как следует. Проблема в том, что скрипт вернул данные обратно, но в некоторых случаях он испортил имена файлов, «съев» некоторые символы, или добавив лишние.

Макадар нанял специалиста по сетевой безопасности для проверки структуры его сервера и анализа состояния дел после атаки. Как оказалось, криптовымогатель попал на сервер, использовав уязвимость в Magento.

Компания CheckPoint описала эту уязвимость еще в апреле 2015 года, и разработчики Magento ликвидировали проблему. Многие портали установили исправленную версию, но есть и множество сайтов, которые не стали ничего устанавливать, оставаясь уязвимыми. Вполне возможно, что криптовымогатель использует и другие уязвимости, описанные, например, здесь.

Инновации для зловредов

Linux Encoder — только один из примеров недавно появившихся новинок ransomware. К примеру, последняя версия CryptoWall, названная CryptoWall 4.0, шифрует имена файлов и данные, используя случайную генерацию символов.

Кстати, не всегда оплата «работы» злоумышленников гарантирует возврат средств. К примеру, криптовымогатель Power Worm написан с ошибкой, которая приводит к невозможности восстановления данных после оплаты и получения секретного ключа. Об этом можно почитать здесь.

Запросы вымогателей постепенно растут. Например, компания KnowBe4, работающая в сфере информационной безопасности, описывает новый зловред, который атакует Windows-компьютеры, шифруя файлы «как обычно». При этом, если программа встречает сетевые диски, шифрует все и на них, требуя затем оплаты в 2,5 биткоина. При этом данные пользователя программа обещает опубликовать в Сети, если оплата не будет получена.

Сделать здесь практически ничего нельзя, восстановить файлы самостоятельно практически невозможно. Единственный выход — бекапы. К примеру, PC World не так давно опубликовал довольно пространное руководство для Windows пользователей, рассказав, как делать бекапы и где их хранить.

Что касается Linux, довольно неплохая статья опубликована вот здесь.