Software-ul periculos a fost identificat pentru prima data saptamana trecuta si vizeaza mai ales statiile de lucru ale administratorilor de sistem din companii.
Bitdefender este primul furnizor de solutii de securitate IT care pune la dispozitia utilizatorilor un set de instrumente de decriptare pentru fisierele afectate de virusul ransomware ce ruleaza pe Linux, menite sa readuca fisierele compromise la versiunea initiala.
Virusul denumit Linux.Encoder.1, primul ransomware care vizeaza sistemul de operare Linux, are un comportament similar cu CryptoWall, TorLocker si alte familii care actioneaza pe Windows.
Pachetul de instrumente furnizat de Bitdefender afla codul de criptare prin analizarea fisierului si executa operatiunea de decriptare, urmata de repararea acestuia. Daca sistemul de operare compromis de atac incepe sa boot-eze, descarcati si rulati scriptul de pe: http://labs.bitdefender.com/2015/11/linux-ransomware-debut-fails-on-predictable-encryption-key/.
In plus, expertii in securitate ai Bitdefender recomanda utilizatorilor sa tina cont de cateva sfaturi pentru a reduce riscul infectarii cu ransomware:
- Nu rulati aplicatii care inspira un grad redus de incredere. Acestea pot prezenta un risc de securitate imens si pot compromite integritatea datelor de pe terminalul dvs.
- Asigurati-va prin back-up datele de pe terminal, in cloud sau pe un dispozitiv extern.
- Daca dispozitivul care ruleaza un sistem de operare Linux apartine companiei, instalati o solutie de securitate precum Bitdefender Gravity Zone. O solutie antimalware blocheaza acest tip de amenintari inainte ca acestea sa reuseasca sa cripteze ireversibil fisierele.
Cum functioneaza primul ransomware de Linux
Similar modului de actiune din Windows, Linux.Encoder.1 foloseste un algoritm de criptare simetrica (AES), care furnizeaza suficienta putere si viteza si pastreaza resursele consumate la un nivel minim. Cheia simetrica este apoi criptata cu un algoritm de criptare asimetrica (RSA) si adaugata la inceputul fisierului, alaturi de vectorul de initializare folosit de AES.
Dupa ce fisierele au fost criptate, Trojan incearca sa cripteze continutul fisierului radacina (/), evitand doar fisierele de sistem critice, pentru ca sistemul de operare sa fie capabil sa boot-eze din nou. In acel moment, utilizatorii sunt nevoiti sa plateasca o taxa pentru a intra in posesia codului RSA care il decripteaza pe cel AES. Cu toate acestea, o slabiciune in modul in care virusul a fost programat a permis cercetatorilor Bitdefender sa extraga codul AES fara sa fie nevoiti sa decripteze folosind codul RSA.