Linux.Encoder.1, el primer ransomware
para Linux que afectaba principalmente a servidores web que ejecutaban el
sistema operativo libre, Linux, se detectó la semana anterior.
Este malware utiliza un algoritmo AES-128 para cifrar los archivos y vuelve a cifrar la clave con una nueva clave RSA para asegurarse de que esta primera no se puede crackear por fuerza bruta para recuperar los datos.
Este ransomware se centra principalmente en infectar
todo tipo de servidores web que alojan en sí mismos páginas web o que son
utilizados para el desarrollo web. En menos de una semana, este malware ya
había infectado y secuestrado más de 2000 sitios web en todo el mundo,
actualmente más de 3000 víctimas en menos de dos semanas, dejando los datos
secuestrados y a la espera de recibir el pago por parte de los administradores
para poder recuperar sus proyectos.
Una simple búsqueda en Google realizada antes del fin de semana nos
devuelve los más de 2.000 sitios web infectados que cuentan con el fichero de
información para descifrar los datos, que se llama “README_FOR_DECRYTP.txt“, y
que pide el pago de un Bitcoin a cambio de la clave. A día de hoy, el número de
servidores y webs afectadas por este ransomware supera las 3.000.
Las empresas de seguridad están seguras de que este ransomware va a
seguir creciendo en número y peligrosidad, y es posible que visto el éxito del
mismo no tardemos en ver nuevas variantes cada vez más peligrosas. La mejor
forma de protegerse de él es una configuración adecuada de los permisos de
Linux, de manera que si el malware nos infecta no tenga permiso de escritura en
el directorio de la web, salvo que lo ejecutemos como root o como un usuario
que sí tenga dichos permisos.
Si por cualquier motivo terminamos en manos de Linux.Encoder.1, antes
de pagar por recuperar los datos recordamos que debido a una debilidad en la
generación de las claves es posible volver a generar la clave manualmente.
El ransomware Linux.Encoder.1 tiene una vulnerabilidad que permite
volver a generar la clave para descifrar los datos sin pagar
El malware Linux.Encoder.1 está escrito mayoritariamente en C, por lo
que utiliza muchas de sus funciones. Una de ellas es rand(), una función
utilizada para hallar un número aleatorio utilizando la hora del sistema como
base.
Si analizamos los cambios en el sistema de archivos es posible saber
con certeza a qué hora exacta se produjo la infección y se generó la clave, por
lo que cualquier usuario podría volver a generarla a mano para comenzar el
proceso de recuperación de los archivos.
Fuente: Security Week