forum.opennet.ru

Составление сообщения

Исходное сообщение

"Выявлено вымогательское вредоносное ПО, шифрующее файлы на с..."
Отправлено opennews, 08-Ноя-15 09:26

Компания "Доктор Веб" сообщила (http://news.drweb.ru/show/?i=9686) о выявлении вредоносного ПО Linux.Encoder (http://vms.drweb.ru/search/?q=Linux.Encoder.1), шифрующее файлы на серверах и требующее заплатить деньги за их расшифровку. Программа распространяется в форме троянского ПО для Linux и FreeBSD, требуя для своего размещения эксплуатации неисправленных уязвимостей в серверном ПО или в web-приложениях.

После запуска Linux.Encoder на сервере жертвы производится шифрование файлов, доступных в рамках текущих привилегий доступа. В том числе шифруется содержимое директорий с компонентами web-сайтов, git- и svn-nрепозитории, директории с данными MySQL, файлы конфигурации nginx и apache httpd, содержимое домашней директории, бэкапы и файлы с такими расширениями, как ".php", ".html", ".tar", ".gz", ".sql" и ".js". Зашифрованные файлы снабжаются расширением .encrypted. Условия расшифровки размещаются в файле README_FOR_DECRYPT.txt, который копируется в каждую директорию с зашифрованными данными. Ключ для расшифровки предлагается получить на сайте, работающем в форме скрытого сервиса Tor.
<center><a href="http://st.drweb.com/static/new-www/news/2015/november/Encode... src="https://www.opennet.ru/opennews/pics_base/0_1446963137.png&q... style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center>
Программа написана на языке Си, для блокировки доступа к данным применяется шифрование по открытым ключам при помощи библиотеки библиотека PolarSSL (https://www.opennet.ru/opennews/art.shtml?num=31442). Открытый ключ RSA-2048 общедоступен, а за получение необходимого для расшифровки закрытого ключа злоумышленнике вымогают плату в 1 биткойн (420 долларов США). Конечные файлы шифруются с применением симметричного шифра AES-CBC-128 с генерацией своей ключевой фразы для каждого файла.

Несмотря на заверение компании "Доктор Веб" о попытках разработки технологии расшифровки, без получения закрытого ключа подобные усилия бессмысленны в условиях применения алгоритмов RSA и AES. Судя по тексту с инструкцией по расшифровке для шифрования применяются не повторяющиеся RSA-ключи, т.е. использовать один раз перехваченных типовой закрытый ключ не получится.
URL: http://news.drweb.com/show/?i=9686
Новость: http://www.opennet.ru/opennews/art.shtml?num=43277

Исходное сообщение
"Выявлено вымогательское вредоносное ПО, шифрующее файлы на с..." Отправлено opennews, 08-Ноя-15 09:26
Компания "Доктор Веб" сообщила (http://news.drweb.ru/show/?i=9686) о выявлении вредоносного ПО Linux.Encoder (http://vms.drweb.ru/search/?q=Linux.Encoder.1), шифрующее файлы на серверах и требующее заплатить деньги за их расшифровку. Программа распространяется в форме троянского ПО для Linux и FreeBSD, требуя для своего размещения эксплуатации неисправленных уязвимостей в серверном ПО или в web-приложениях. После запуска Linux.Encoder на сервере жертвы производится шифрование файлов, доступных в рамках текущих привилегий доступа. В том числе шифруется содержимое директорий с компонентами web-сайтов, git- и svn-nрепозитории, директории с данными MySQL, файлы конфигурации nginx и apache httpd, содержимое домашней директории, бэкапы и файлы с такими расширениями, как ".php", ".html", ".tar", ".gz", ".sql" и ".js". Зашифрованные файлы снабжаются расширением .encrypted. Условия расшифровки размещаются в файле README_FOR_DECRYPT.txt, который копируется в каждую директорию с зашифрованными данными. Ключ для расшифровки предлагается получить на сайте, работающем в форме скрытого сервиса Tor. <center><a href="http://st.drweb.com/static/new-www/news/2015/november/Encode... src="https://www.opennet.ru/opennews/pics_base/0_1446963137.png&q... style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center> Программа написана на языке Си, для блокировки доступа к данным применяется шифрование по открытым ключам при помощи библиотеки библиотека PolarSSL (https://www.opennet.ru/opennews/art.shtml?num=31442). Открытый ключ RSA-2048 общедоступен, а за получение необходимого для расшифровки закрытого ключа злоумышленнике вымогают плату в 1 биткойн (420 долларов США). Конечные файлы шифруются с применением симметричного шифра AES-CBC-128 с генерацией своей ключевой фразы для каждого файла. Несмотря на заверение компании "Доктор Веб" о попытках разработки технологии расшифровки, без получения закрытого ключа подобные усилия бессмысленны в условиях применения алгоритмов RSA и AES. Судя по тексту с инструкцией по расшифровке для шифрования применяются не повторяющиеся RSA-ключи, т.е. использовать один раз перехваченных типовой закрытый ключ не получится. URL: http://news.drweb.com/show/?i=9686 Новость: http://www.opennet.ru/opennews/art.shtml?num=43277

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Компания "Доктор Веб" сообщила (http://news.drweb.ru/show/?i=9686) о выявлении вредоносного 
> ПО Linux.Encoder (http://vms.drweb.ru/search/?q=Linux.Encoder.1), шифрующее файлы 
> на серверах и требующее заплатить деньги за их расшифровку. Программа распространяется 
> в форме троянского ПО для Linux и FreeBSD, требуя для своего 
> размещения эксплуатации неисправленных уязвимостей в серверном ПО или в web-приложениях.

> После запуска Linux.Encoder на сервере жертвы производится шифрование файлов, доступных 
> в рамках текущих привилегий доступа. В том числе шифруется содержимое директорий 
> с компонентами web-сайтов, git- и svn-nрепозитории, директории с данными MySQL, файлы 
> конфигурации nginx и apache httpd, содержимое домашней директории, бэкапы и файлы 
> с такими расширениями, как ".php", ".html", ".tar", ".gz", ".sql" и ".js". 
> Зашифрованные файлы снабжаются расширением .encrypted. Условия расшифровки размещаются 
> в файле README_FOR_DECRYPT.txt, который копируется в каждую директорию с зашифрованными 
> данными. Ключ для расшифровки предлагается получить на сайте, работающем в форме 
> скрытого сервиса Tor.

>  <center><a href="http://st.drweb.com/static/new-www/news/2015/november/Encoder.png"><img 
> src="https://www.opennet.ru/opennews/pics_base/0_1446963137.png" style="border-style: 
> solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center>

> Программа написана на языке Си, для блокировки доступа к данным применяется шифрование 
> по открытым ключам при помощи библиотеки библиотека PolarSSL (https://www.opennet.ru/opennews/art.shtml?num=31442). 
> Открытый ключ RSA-2048 общедоступен, а за получение необходимого для расшифровки закрытого 
> ключа злоумышленнике вымогают плату в 1 биткойн (420 долларов США). Конечные 
> файлы шифруются  с применением симметричного шифра AES-CBC-128 с генерацией своей 
> ключевой фразы для каждого файла.

> Несмотря на заверение компании "Доктор Веб" о попытках разработки технологии расшифровки, 
> без получения закрытого ключа подобные усилия бессмысленны в условиях применения алгоритмов 
> RSA и AES.  Судя по тексту с инструкцией по расшифровке 
> для шифрования применяются не повторяющиеся RSA-ключи, т.е. использовать один раз перехваченных 
> типовой закрытый ключ не получится.

> URL: http://news.drweb.com/show/?i=9686 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=43277

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру