Изображение: Kaspersky Lab
Ransomware, или программы-криптовымогатели, уже давно известны. Это ПО шифрует данные пользователей, требуя затем оплаты за предоставление секретного ключа, позволяющего расшифровать данные. Оплата обычно производится в биткоинах, а само ПО атакует компьютеры под управлением Windows. Но все течет, все меняется, и теперь криптовымогатели атакуют и сервера с размещенными на них сайтами пользователей, шифруя файлы, изображения и все прочие данные на сервере. Ранее мы уже рассказывали о программе-криптовымогателе, который шифрует пользовательские файлы в «оффлайне», а так же о новых методах шантажа пользователей.
Новый криптовымогатель, названный “Linux.Encoder.1”, был выявлен Dr.Web. Целью этого ПО являются сервера под управлением Linux. Интересно, что программа практически не определяется антивирусами, Virustotal.com выдает нулевое обнаружение.
Malware обычно атакует сайты, используя известные (или не очень) уязвимости CMS, отдельных плагинов и скриптов. В случае с Linux.Encoder.1 дело обстоит именно таким образом. Как только зловред попадает на сервер, все файлы в директории «home» шифруются, равно как и все бекапы, которые обнаруживает программа. Системные папки и файлы также шифруются.
Стоит напомнить, что ransomware — весьма прибыльный бизнес. Только CryptoWall стал причиной убытков бизнеса и частых лиц (известные случаи) на сумму в $18 миллионов. Общая же сумма убытков компаний и пользователей в результате деятельности такого рода ПО достигает сотен миллионов долларов США.
Что касается Linux.Encoder.1, то еще 4 ноября с этим зловредом столкнулся профессиональный веб-дизайнер Дэниел Макадар (Daniel Macadar). Его сервер был атакован этим зловредом, после чего специалист получил сообщение следующего характера: «Для получения секретного ключа и php скрипта для этого сервера, который автоматически расшифрует данные, вам нужно заплатить 1 биткоин. Без ключа вы никогда не сможете получить свои файлы обратно».
Макадар сообщил, что этот криптовымогатель атаковал не только его веб-сервер, но и севера его друзей. Linux.Encoder.1 вывел из строя сайты, которые размещались на указанных машинах. При этом жертве пришлось заплатить, выбора не было. Интересно, что с Bitcoin Макадару ранее дело иметь не приходилось, так что некоторое время заняла установка соответствующего ПО с поиском методов конвертации налички в криптовалюту.
По словам Макадара, после оплаты все прошло гладко, и все файлы были расшифрованы. Правда, после этого не все работало так, как следует. Проблема в том, что скрипт вернул данные обратно, но в некоторых случаях он испортил имена файлов, «съев» некоторые символы, или добавив лишние.
Макадар нанял специалиста по сетевой безопасности для проверки структуры его сервера и анализа состояния дел после атаки. Как оказалось, криптовымогатель попал на сервер, использовав уязвимость в Magento.
Компания CheckPoint описала эту уязвимость еще в апреле 2015 года, и разработчики Magento ликвидировали проблему. Многие портали установили исправленную версию, но есть и множество сайтов, которые не стали ничего устанавливать, оставаясь уязвимыми. Вполне возможно, что криптовымогатель использует и другие уязвимости, описанные, например, здесь.
Инновации для зловредов
Linux Encoder — только один из примеров недавно появившихся новинок ransomware. К примеру, последняя версия CryptoWall, названная CryptoWall 4.0, шифрует имена файлов и данные, используя случайную генерацию символов.
Кстати, не всегда оплата «работы» злоумышленников гарантирует возврат средств. К примеру, криптовымогатель Power Worm написан с ошибкой, которая приводит к невозможности восстановления данных после оплаты и получения секретного ключа. Об этом можно почитать здесь.
Запросы вымогателей постепенно растут. Например, компания KnowBe4, работающая в сфере информационной безопасности, описывает новый зловред, который атакует Windows-компьютеры, шифруя файлы «как обычно». При этом, если программа встречает сетевые диски, шифрует все и на них, требуя затем оплаты в 2,5 биткоина. При этом данные пользователя программа обещает опубликовать в Сети, если оплата не будет получена.
Сделать здесь практически ничего нельзя, восстановить файлы самостоятельно практически невозможно. Единственный выход — бекапы. К примеру, PC World не так давно опубликовал довольно пространное руководство для Windows пользователей, рассказав, как делать бекапы и где их хранить.
Что касается Linux, довольно неплохая статья опубликована вот здесь.
Комментарии (8)
ZoomLS
12.11.2015 04:25+1Очередная статья от того же автора, которая как будто написана по заказу мелкомягких. Всё тот же жёлтый заголовок. Всё по канонам жанра. С целью очернить GNU/Linux системы. Якобы, смотрите они все уязвимы и не такие безопасные. И опять, всё дело в очередном говнокоде на php, которым ещё кто-то пользуется(этих людей уже ничего не спасёт), а потом у них GNU/Linux виноват. Epic Fail.
bezumkin
12.11.2015 07:37Jail + php процессы от разных пользователей для каждого сайта, и ничего кроме дырявой Magento зашифровать не получится.
Профессиональный дизайнер, тоже мне.
yosemity
Как был атакован сервер? На нем не было апдейтов аж с апреля или «профессиональный веб-дизайнер Дэниел Макадар» под рутом запустил «super_new_magento_skin.sh»?
И читаем ниже
Казалось бы при чем тут линух, винда или макОсь?
Статья из раздела «еще 200 тысяч серверов вордпресс 3.0 подверглись атаке». Ну так не стоит запускать сервисы под рутом и бекапы наше все.
Вообще, выглядит, как пиар заразы — спасенья нет, только заплатить.
yosemity
Еще дополню, появление таких «вирусов» говорит только о том, что Linux ползет по планете и набирает популярность, что в общем-то не может не радовать. Как и не может огорчать, что сервер на линухе становится проще и запилить его могут профессиональные дизайнеры.
Вывод: от винды отличий нет, любая ОС — лишь инструмент, решает голова и руки.
Delphinum
Возможно вас это удивит, но системы семейства Linux уже давно держут довольно большую часть серверного рынка.
yosemity
Ну вряд ли меня это удивит, т.к. 70% моего парка серверов — это линух. А если считать всякие служебные девайсы на его базе, то все 95-98%. Я хотел сказать, что это нормально. Когда Андроид стал популярен его стали активно ломать, как и айОс, вот теперь серверный Линух. Но тут же виноваты руки и конкретная CMS. См выше — не запускать под рутом + бекапы.