The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выявлено второе вредоносное ПО, шифрующее файлы в Linux

19.11.2015 23:16

Компания "Доктор Веб" опубликовала данные об ещё одом вредоносном ПО Linux.Encoder.2, шифрующем файлы на серверах для вымогательства денег за расшифровку. От первого вредоносного приложения такого рода Linux.Encoder.2 отличается использованием библиотеки OpenSSL вместо PolarSSL и применением иного метода шифрования файлов (вместо AES-CBC-128 применяется AES-OFB-128 со сменой параметров шифра для каждых 128 байт).

Примечательно, что как и первое шифрующее вредоносное ПО для Linux, новый экземпляр также изменяет время модификации файла, т.е. подвержен той же уязвимости (Linux.Encoder.2 был выявлен позднее, но написан на несколько недель раньше Linux.Encoder.1), что даёт возможность восстановить вектор инициализации AES и определить ключ шифрования. Компания "Доктор Веб" сообщила о создании расшифровщика, но пока распространяет его только в составе платной версии своего антивируса. Ожидается, что в ближайшее время компания Bitdefender Lab адаптирует для Linux.Encoder.2 свой общедоступный распаковщик, распространяемый в исходных текстах под лицензией GPLv3.

  1. Главная ссылка к новости (http://news.drweb.ru/show/?i=9...)
  2. OpenNews: Уязвимость в вымогательском ПО для Linux/FreeBSD свела стойкость шифрования на нет
  3. OpenNews: Выявлено вымогательское вредоносное ПО, шифрующее файлы на серверах с Linux и FreeBSD
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/43359-trojan
Ключевые слова: trojan
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (44) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, аноним2 (?), 23:19, 19/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    День сурка.
     
     
  • 2.53, РОСА (ok), 11:56, 20/11/2015 [^] [^^] [^^^] [ответить]  
  • +14 +/
    «Доктор Вебер» пиарит свои антивирусы.
     
     
  • 3.57, pkdr (ok), 13:10, 20/11/2015 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Судя по качеству их "вирусов", антивирусы тоже должны быть кривоватыми :)
     
     
  • 4.76, i_stas (ok), 02:26, 21/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Судя по качеству их "вирусов", антивирусы тоже должны быть кривоватыми :)

    Только GUI.  Ядро прямое и качественное.

     

  • 1.2, th3m3 (ok), 23:29, 19/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Они забыли сказать, что распространяется оно через дырявые скрипты на php.
     
     
  • 2.25, rshadow (ok), 02:30, 20/11/2015 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Желательно запущенные от рута, а то за сами скрипты наврят ли заплатят денег.
     
     
  • 3.82, JL2001 (ok), 21:04, 25/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >Желательно запущенные от рута, а то за сами скрипты наврят ли заплатят денег.

    вот и будет перепись тех кто не разделяет данные от остального
    (и заодно ещё не делает бэкапы)

    зы: нам как-то ломанули впн/фтп-сервер через сердце в ссш (через полгода после паники), так админ восстановил из бекапа и через 3 недели опять ломанули - обновить дистриб "админ" так и не догадался

     
  • 2.71, pavlinux (ok), 18:53, 20/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Они забыли сказать, что распространяется оно через дырявые скрипты на php.

    Давай-ка URL своего сайта, ща проверим на недырявость! В футере подпиши "ЗБОЖ".

     
     
  • 3.75, Нуб (?), 01:19, 21/11/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Но у меня нет динамики на наружних серверах.
    Только статика!
    Только HTML!
     

  • 1.3, Ононим (?), 23:32, 19/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    >> Компания "Доктор Веб" сообщила о создании расшифровщика, но пока распространяет его только в составе платной версии своего антивируса.

    Видимо взяли готовый питон-скрипт от BitDefender и быстренько адаптировали под «вторую» версию своего «вируса»

     
     
  • 2.35, Вареник (?), 06:01, 20/11/2015 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Еще и на ГитХаб ничего не выкладывают, сраные проприетарщики.
     

  • 1.4, Аноним (-), 23:40, 19/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    >>Компания "Доктор Веб" сообщила о создании расшифровщика, но пока распространяет его только в составе платной версии своего антивируса.

    Да, наверняка и не существует никакого вируса под названием Linux.Encoder1, просто Доктор Вэб решил потихому срубить бабла, вот и сообщила, что якобы есть расшифровщик, который решит все ваши проблемы. Хотя никто и в глаза этот расшифровщик не видели :)

     
     
  • 2.6, Ононим (?), 23:44, 19/11/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    но ведь дешифровщик фигурировал в истории исследования этого «вируса»
     
  • 2.31, Какаянахренразница (ok), 05:05, 20/11/2015 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > Хотя никто и в глаза этот расшифровщик не видели :)

    Так ведь и вирус тоже никто не видел. Это особенность всех вирусов под Линукс. Стэлс-режим, понимаешь ли.

     

  • 1.7, KOT040188 (?), 23:49, 19/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Как страшно жить… ヅ
     
     
  • 2.45, Какаянахренразница (ok), 10:16, 20/11/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > ヅ

    Зю?

     

  • 1.13, IMHO (?), 00:55, 20/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    > был выявлен позднее, но написан на несколько недель раньше

    и откуда такие подробности знает антивирусная компания ?

     
     
  • 2.15, Аноним (-), 00:59, 20/11/2015 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Ну вот если вы вступили в каку, то логично, что кто-то сделал ее раньше, чем вы вступили.
     
     
  • 3.51, тоже Аноним (ok), 11:40, 20/11/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ваша логика устарела.
    В наш век фьючерсов вы можете вступить по полной в то, что еще даже не начинали делать.
     
     
  • 4.54, Аноним (-), 12:02, 20/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    То что не начинали делать мы можем купить или продать, но вступить в это не можем.
     

  • 1.14, Аноним (-), 00:59, 20/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    А запускать от рута надо?
     
     
  • 2.23, Bookman300 (ok), 01:30, 20/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Еще также компилять, и даже официальную документацию просить у Др.Веб, иначе без полтора-литра не въехать :)))
     
     
  • 3.64, Аноним (-), 16:29, 20/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Не забудьте также попросить патчи для вашего дистрибутива.
     

  • 1.24, Sw00p aka Jerom (?), 01:53, 20/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    новый экземпляр также >>изменяет время модификации файла<<, т.е. подвержен той же уязвимости

    меня одного смущает выделенная строчка ?

     
     
  • 2.26, Аноним (-), 03:30, 20/11/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    По времени вычисляют сид генератора рандомных чисел и восстанавливают ключ. Авторы вируса идиоты, нет бы как все нормальные люди читать /dev/urandom, а лучше /dev/random, даже придумывать ничего не надо, но нет, делают велосипед на небезопасной rand()
     
     
  • 3.48, Khariton (ok), 10:47, 20/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    видать на этом построен процесс дешифровки. был бы рандом откуда они будут знать как расшифровать?)))
     
  • 3.50, Аноним (-), 11:36, 20/11/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А всякие кошерные трукрипты не изменяют время доступа?
    У многих все смонтировано с noatime, т е расшифровать не получится?
    Да и время примерно известно и так. Число комбинаций не так велико. Там до микросекунд точность? В файл же обычно секунды только пишутся.
     
     
  • 4.52, тоже Аноним (ok), 11:41, 20/11/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > У многих все смонтировано с noatime, т е расшифровать не получится?

    atime - время последнего доступа. mtime - время модификации.
    Файлы при шифровании фактически создаются заново, такое время записывают любые ФС.


     
  • 4.56, angra (ok), 12:50, 20/11/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Для того, чтобы что-то зашифровать "вирус" создает симметричный ключ AES.  Для создания ключа AES они использует стандартный rand() из libc, который инициируют текущим временем. После чего шифруют первый файл. Все эти действия занимают меньше секунды, а значит время модификации этого файла и является seed для rand. Так как последовательность выдаваемая rand полностью определяется seed, то дальше легко восстанавливается AES ключ и им расшифровываются все файлы.
     
     
  • 5.68, Sw00p aka Jerom (?), 18:05, 20/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > а значит время модификации этого файла и является seed
    > для rand.

    а в статье написано - также >>изменяет время модификации файла<<

     
  • 3.67, Sw00p aka Jerom (?), 18:03, 20/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    думаю там должно было быть - также >>НЕ изменяет время модификации файла<<
     

  • 1.38, Аноним (38), 07:39, 20/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А как вирус у себя установить? Я пробовал - не получилось (библиотек не хватает)
     
     
  • 2.42, невидимка (?), 09:29, 20/11/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    не плачь! возьми винду десяточку и всё запустится =)
     

  • 1.44, Абырвалг (?), 10:12, 20/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Сотрудник доктора в комментариях. Задавайте свои вопросы.
     
  • 1.49, KT315 (ok), 10:49, 20/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    >> Компания "Доктор Веб" сообщила о создании расшифровщика, но пока распространяет его только в составе платной версии своего антивируса.

    Т.е. заплатите для распаковки? Dr.Web совсем не палится :-D

     
  • 1.63, Аноним (-), 16:24, 20/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Таак, если Д-р Веб умеет расшифровать, то... кто же, интересно это зашифровал?
    Настолько сильно даже Касперский не палится. Или... может быть...
    давайте д-р Веб я зашифрую пару файлов, а вы их расшифруете!
     
  • 1.69, РОСКОМУЗОР (?), 18:11, 20/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А мораль этой новости такова: Срочно всем купить антивирус от ДокторВеб!
     
  • 1.72, Игорь (??), 19:24, 20/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Какая компания,такой и антивирус. Думаю,никто не забыл историю с отжатием паблика?

    http://vk.com/wall-774326_22420

     
     
  • 2.73, Аноним (-), 22:17, 20/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    походу, они забашляли модеру за публикацию новости, и теперь неугодные каменты и тут трут
     
  • 2.81, freehck (ok), 09:30, 23/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, вот петиция автора отжатой группы против Dr. Web. Давайте подпишем, что ли?
    https://www.change.org/p/%D0%BE%D0%BE%D0%BE-

    Хотя конечно можно и не подписывать. Тут такой забавный факт: пострадавший -- это Александр Речицкий. Тот самый манагер, продвигающий ReactOS. :)

     

  • 1.74, Аноним (-), 23:18, 20/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    "Компания "Доктор Веб" сообщила о создании расшифровщика, но пока распространяет его только в составе платной версии своего антивируса" - твари поганые...
     
  • 1.78, tmplsr (?), 08:58, 21/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Хитрый план, однако:
    1. Распиарить факт, что под линь можно писать вири и трояны.
    2. Получить комментарии от тех, кто в теме, как не допускать грубых ошибок в подобном софте.
    3. И получить в итоге некоторое кол-во вирмеров.

    Журнал ][-ер занят в т.ч. и подобным уже долгие годы. Докатились и до опеннета?

     
  • 1.79, arisu (ok), 13:36, 22/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Доктор Веб

    дальше не читал @ комментарий написал

     
  • 1.80, XAnimus (ok), 14:20, 22/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    На бсд даже в линуксаторе не запускается( Решил таки поиграться и тут на тебе(
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру