Ransomware pour Linux

[Malekal_morte]

Un nouveau ransomware chiffreurs de fichiers pour Linux a vu le jour dernièrement, il est baptisé Linux.Encoder.1.
Le prix de la récupération des documents 1 Bitcoin (~ $300) et le ransomware vise les extensions :

js, .css, .properties, .xml, .ruby, .php, .html, .gz, and .asp, as well as other file extensions like .rar, .7z, .xls, .pdf, .doc, .avi, .mov, .png, and .jpg.

Les dossiers visés par le ransomware :

/home
/root
/var/lib/mysql
/var/www
/etc/nginx
/etc/apache2
/var/log

Linux ne représente que 3% des postes bureautiques, ce ransomware vise essentiellement les serveurs.

Liens en rapport:

• Malwares et Virus sur Linux
• Ransomware chiffreurs de fichiers

Le contenu en texte - le paiement se fait via TOR "comme d'habitude" :

Le contenu du fichier README_FOR_DECRYPT.txt :

Your personal files are encrypted! Encryption was produced using a unique public key RSA-2048 generated for this computer.

To decrypt files you need to obtain the private key.

The single copy of the private key, which will allow to decrypt the files, located on a secret server at the Internet. After that, nobody and never will be able to restore files...

To obtain the private key and php script for this computer, which will automatically decrypt files, you need to pay 1 bitcoin(s) (~420 USD).
Without this key, you will never be able to get your original files back.


______________________________________________

!!!!!!!!!!!!!!!!!!!!! PURSE FOR PAYMENT(ALSO AUTHORIZATION CODE): 1K6isaDRbMRKwqQsCtWJ3Fj2hWRAuGHh1j !!!!!!!!!!!!!!!!!!!!!
WEBSITE: https://z54n57pg2el6uze2.onion.to

INSTRUCTION FOR DECRYPT:

After you made payment, you should go to website https://z54n57pg2el6uze2.onion.to
Use purse for payment as ur authorization code (1K6isaDRbMRKwqQsCtWJ3Fj2hWRAuGHh1j).
If you already did the payment, you will see decryption pack available for download,
inside decryption pack - key and script for decryption, so all what you need just upload and run that script ( for example: http://ecommerce.strategiedimpresa.it/decrypt.php )

Also, at this website you can communicate with our supports and we can help you if you have any troubles,
but hope you understand we will not answer at any messages if you not able to pay.

!!!P.S. Our system is fully automatic, after payment you will receive you're decrypt pack IMMEDIATELY!!!

FAQ:
Q: How can I pay?
A: We are accept only bitcoins.

Q: Where to buy bitcoins?
A: We can't help you to buy bitcoins, but you can check link below: https://en.bitcoin.it/wiki/Buying_Bitco ... e_version)

Q: I already bought bitcoins, where i should send it.
A: 1K6isaDRbMRKwqQsCtWJ3Fj2hWRAuGHh1j

Q: What gonna happen after payment?
A: Download button for decryption pack will be available after you made payment

Q: I pay, but still can't download decryption pack
A: You need to wait 3 confirmations for bitcoin transaction.

Q: How to use decryption pack?
A: Put all files from archive to your server and just run decrpyt.php (example: website.com/decrypt.php)

Q: Can I pay another currency?
A: No.

[Malekal_morte]

Premiers sites WEB infectés par Linux.Encoder.1 observés depuis le moteur de recherche Google

Aujourd'hui,

Linux_encoder_siteweb_touche.png

Des sites sont indexés plusieurs fois car Google indique les pages trouvées.

Comme souvent, la première version est buggué ce qui permet de déchiffrer les fichiers, BitDefender propose un script pour les récupérer : Linux Ransomware Debut Fails on Predictable Encryption Key.

Ceci a été corrigé dans la nouvelle version.

edit: Linux.Encoder.2 vient d'être détecté par l'éditeur russe DrWeb.

[Malekal_morte]

Le message a changé et réclame maintenant 999$


Le message laissé sur les sites piratés.

Saint777_encoder_message.png

Le blog de la personne derrière ces piratages.

Saint777_encoder_message_2.png

Apparemment le malware est encore en test.
Sans commentaire.

[Malekal_morte]

La phase de test semble terminée et la campagne semble vraiment avoir débutée.
Il y a quelques jours 6000 sites étaient touchés et maintenant 10 000.

Linux_ransomware_9000_sites.png

[nam1962]

N'est-ce pas une faille de Magento, plutôt qu'un ransomware Linux ? Même si le nom contient le mot linux.

[Malekal_morte]

Pas compris.

[nam1962]

Les articles que j'ai pu voir sur le sujet signalent que Linux.Encoder.1 s'attaque à une faille de Magento. Il semble que ce soit plus un ransomware pour Magento qu'un ransomware pour Linux. Un patch Magento est à priori disponible depuis avril 2015 mais on continue à voir des tripotées de possesseur de Magento qui n'appliquent pas les mises à jour.

[Malekal_morte]

Ce rançongiciel s'attaque aux machines Linux, l'exploitation se fait via une vulnérabilité. Ne pas confondre : charge utile (rançongiciel) et vecteurs de l'infection (exploitation de vulnérabilités).

Aujourd'hui, c'est via une faille Mangento mais demain ça pourrait être sur WordPress, Joomla, cPanel, Webmin, PhpMyAdmin, etc.. ou encore sur l'exploitation d'accès à mots de passe faibles sur des services. Si aujourd'hui, la campagne utilise ce moyen, demain ce sera peut-être autre chose. Les systèmes embarqués Linux connectés sont bien plus nombreux que l'on imagine et certains ne sont quasiment pas administrés.

[Malekal_morte]

CTB-Locker prend le relai pour cibler les sites WEB en GNU/Linux.

[Malekal_morte]

Autre cas le KimcilWare ransomware - la portée de ce dernier semble faible.

Le message :

###
ALL YOUR WEBSERVER FILES HAS BEEN LOCKED
You must send me 1 BTC to unlock all your files.
Pay to This BTC Address: xxx
Contact [email protected] after you send me a BTC. Just inform me your website url and your Bitcoin Address.
I will check my Bitcoin if you realy send me a BTC I will give you the decryption package to unlock all your files.
Hope you enjoy Smiley Wink
###

KimcilWare_ransomware.png

KimcilWare_ransomware_2.png

[Malekal_morte]

Un nouveau ransomware B0r0nt0K qui demande le paiement de 30 bitcoin (environ $75,000) pour récupérer les données.
Ce dernier vise donc les serveurs Linux.

Les fichiers touchés par le ransomware portent l'extension .rontok.
Le nom du fichier est aussi modifié, par exemple, cela peut donner zmAAwbbilFw69b7ag4G4bQ%3D%3D.rontok.

Pour le moment, le ransomware renvoie vers un site de paiement : https://borontok.uk/
Ce dernier demande de saisir l'identifiant (ID) fournit dans la note d'instruction déposés un peu partout sur les serveurs touchés.
L'adresse email [email protected] peut aussi être utilisées pour les transactions.

B0r0nt0K-ransomware.png

source : https://www.bleepingcomputer.com/news/s ... x-servers/

[Malekal_morte]

Un autre ransomware commence à faire parler de lui Lilocked (ou Lilu).
Ils visent les serveurs WEB en Linux.
6700 serveurs seraient déjà touchés.
Le paiement est d'environ $35 dollars.

lilocked-note.png

lilocked-tor-2.png

source : https://www.zdnet.com/article/thousands ... ansomware/