• Novo Ransomware Atacando Servidores Web Linux

    Publicado em 07-11-2015 19:00
    0 Comentários Comentários
    Um determinado tipo de ransomware que foi recém-descoberto, está atacando servidores Web Linux, tendo como objetivo chave comprometer ambientes de desenvolvimento da Web usados para hospedar sites ou repositórios de código. Nesse contexto, a fabricante russa fabricante de antivírus Dr. Web deparou com este tipo de malware e disse que o ransomware precisa de privilégios de root para executar o seu trabalho. Além disso, a empresa também disse que ainda não sabe como este ransomware consegue infectar computadores, mas levando em conta as infecções por malware baseados em investidas anteriores envolvendo sistemas Linux, o principal culpado pode ser uma vulnerabilidade no SSH com credenciais fracas (o que ainda não foi confirmado). Além disso, o tal do ransomware em questão usa criptografia AES para bloquear arquivos. Quanto ao seu modus operandi, o ransomware começa a liberar a mensagem de resgate, e em seguida, um arquivo que contém a chave pública RSA. Esta última chave é então, é usada para armazenar chaves AES que são utilizadas para criptografar os arquivos locais. Quando isso acontece, o ransomware adiciona a extensão .encrypt para cada arquivo, e coloca uma mensagem de texto de resgate em cada pasta onde ele criptografa os dados.


    Este ransomware tem uma preferência específica para páginas da Web e sua extensão de arquivo associado. Além disso, o malware visa especificamente os arquivos em pastas que são geralmente encontrados em configurações de servidor Web Linux, ou mesmo na codificação e em ambientes de desenvolvimento. Isso inclui diretórios como o /home, /root, /var/lib/mysql, /var/www, /etc/nginx, /etc/apache2, /var/log, e qualquer diretório que possa incluir termos como git, svn, webapp, www, public_html ou backup. E como se não bastasse, o ransomware também procura por arquivos que tenham extensões específicas para ambientes de desenvolvimento Web como js, css, .properties, .xml, .ruby, .php .html, .gz, .asp e outros. Ressaltando que outras extensões de arquivo conhecidos para hospedar dados também são incluídos (.rar, .7z, .xls, .pdf, .doc, .avi, .mov, .png, .jpg, etc.). Em meio as análises feitas, a equipe da Dr.Web detectou o ransomware como Linux.Encoder.1.

    Após uma análise extra e bastante cuidadosa, a empresa disse que Linux.Encoder.1 é codificado em C e também usa a biblioteca PolarSSL. Portanto, caso alguém seja vítima desta praga, os pesquisadores da Dr. Web recomendam que as pessoas façam o backup de todos os seus dados e mantenham todos os arquivos no lugar, até que seja criado um sistema de decodificação.


    Saiba Mais:

    [1] TechCrunch http://techcrunch.com/2015/11/06/lin...ng-webmasters/
    + Enviar Comentário