Компания "Доктор Веб" сообщила (http://news.drweb.ru/show/?i=9686) о выявлении вредоносного ПО Linux.Encoder (http://vms.drweb.ru/search/?q=Linux.Encoder.1), шифрующее файлы на серверах и требующее заплатить деньги за их расшифровку. Программа распространяется в форме троянского ПО для Linux и FreeBSD, требуя для своего размещения эксплуатации неисправленных уязвимостей в серверном ПО или в web-приложениях.
После запуска Linux.Encoder на сервере жертвы производится шифрование файлов, доступных в рамках текущих привилегий доступа. В том числе шифруется содержимое директорий с компонентами web-сайтов, git- и svn-nрепозитории, директории с данными MySQL, файлы конфигурации nginx и apache httpd, содержимое домашней директории, бэкапы и файлы с такими расширениями, как ".php", ".html", ".tar", ".gz", ".sql" и ".js". Зашифрованные файлы снабжаются расширением .encrypted. Условия расшифровки размещаются в файле README_FOR_DECRYPT.txt, который копируется в каждую директорию с зашифрованными данными. Ключ для расшифровки предлагается получить на сайте, работающем в форме скрытого сервиса Tor.
<center><a href="http://st.drweb.com/static/new-www/news/2015/november/Encode... src="https://www.opennet.ru/opennews/pics_base/0_1446963137.png&q... style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center>
Программа написана на языке Си, для блокировки доступа к данным применяется шифрование по открытым ключам при помощи библиотеки библиотека PolarSSL (https://www.opennet.ru/opennews/art.shtml?num=31442). Открытый ключ RSA-2048 общедоступен, а за получение необходимого для расшифровки закрытого ключа злоумышленнике вымогают плату в 1 биткойн (420 долларов США). Конечные файлы шифруются с применением симметричного шифра AES-CBC-128 с генерацией своей ключевой фразы для каждого файла.
Несмотря на заверение компании "Доктор Веб" о попытках разработки технологии расшифровки, без получения закрытого ключа подобные усилия бессмысленны в условиях применения алгоритмов RSA и AES. Судя по тексту с инструкцией по расшифровке для шифрования применяются не повторяющиеся RSA-ключи, т.е. использовать один раз перехваченных типовой закрытый ключ не получится.
URL: http://news.drweb.com/show/?i=9686
Новость: http://www.opennet.ru/opennews/art.shtml?num=43277