Ransomware pour Linux

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Répondre
Malekal_morte
Site Admin
Site Admin
Messages : 95518
Inscription : 10 sept. 2005 13:57
Contact :

Ransomware pour Linux

Message par Malekal_morte » 09 nov. 2015 15:27

Un nouveau ransomware chiffreurs de fichiers pour Linux a vu le jour dernièrement, il est baptisé Linux.Encoder.1.
Le prix de la récupération des documents 1 Bitcoin (~ $300) et le ransomware vise les extensions :
js, .css, .properties, .xml, .ruby, .php, .html, .gz, and .asp, as well as other file extensions like .rar, .7z, .xls, .pdf, .doc, .avi, .mov, .png, and .jpg.
Les dossiers visés par le ransomware :
/home
/root
/var/lib/mysql
/var/www
/etc/nginx
/etc/apache2
/var/log

Linux ne représente que 3% des postes bureautiques, ce ransomware vise essentiellement les serveurs.

Liens en rapport: Image

Le contenu en texte - le paiement se fait via TOR "comme d'habitude" :

Le contenu du fichier README_FOR_DECRYPT.txt :
Your personal files are encrypted! Encryption was produced using a unique public key RSA-2048 generated for this computer.

To decrypt files you need to obtain the private key.

The single copy of the private key, which will allow to decrypt the files, located on a secret server at the Internet. After that, nobody and never will be able to restore files...

To obtain the private key and php script for this computer, which will automatically decrypt files, you need to pay 1 bitcoin(s) (~420 USD).
Without this key, you will never be able to get your original files back.


______________________________________________

!!!!!!!!!!!!!!!!!!!!! PURSE FOR PAYMENT(ALSO AUTHORIZATION CODE): 1K6isaDRbMRKwqQsCtWJ3Fj2hWRAuGHh1j !!!!!!!!!!!!!!!!!!!!!
WEBSITE: https://z54n57pg2el6uze2.onion.to

INSTRUCTION FOR DECRYPT:

After you made payment, you should go to website https://z54n57pg2el6uze2.onion.to
Use purse for payment as ur authorization code (1K6isaDRbMRKwqQsCtWJ3Fj2hWRAuGHh1j).
If you already did the payment, you will see decryption pack available for download,
inside decryption pack - key and script for decryption, so all what you need just upload and run that script ( for example: http://ecommerce.strategiedimpresa.it/decrypt.php )

Also, at this website you can communicate with our supports and we can help you if you have any troubles,
but hope you understand we will not answer at any messages if you not able to pay.

!!!P.S. Our system is fully automatic, after payment you will receive you're decrypt pack IMMEDIATELY!!!

FAQ:
Q: How can I pay?
A: We are accept only bitcoins.

Q: Where to buy bitcoins?
A: We can't help you to buy bitcoins, but you can check link below: https://en.bitcoin.it/wiki/Buying_Bitco ... e_version)

Q: I already bought bitcoins, where i should send it.
A: 1K6isaDRbMRKwqQsCtWJ3Fj2hWRAuGHh1j

Q: What gonna happen after payment?
A: Download button for decryption pack will be available after you made payment

Q: I pay, but still can't download decryption pack
A: You need to wait 3 confirmations for bitcoin transaction.

Q: How to use decryption pack?
A: Put all files from archive to your server and just run decrpyt.php (example: website.com/decrypt.php)

Q: Can I pay another currency?
A: No.


Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Malekal_morte
Site Admin
Site Admin
Messages : 95518
Inscription : 10 sept. 2005 13:57
Contact :

Re: Linux.Encoder.1 : premier ransomware pour Linux

Message par Malekal_morte » 10 nov. 2015 08:58

Premiers sites WEB infectés par Linux.Encoder.1 observés depuis le moteur de recherche Google

Aujourd'hui,
Linux_encoder_siteweb_touche.png
Linux.Encoder.1 : premier ransomware pour Linux
Des sites sont indexés plusieurs fois car Google indique les pages trouvées.

Comme souvent, la première version est buggué ce qui permet de déchiffrer les fichiers, BitDefender propose un script pour les récupérer : Linux Ransomware Debut Fails on Predictable Encryption Key.

Ceci a été corrigé dans la nouvelle version.

edit: Linux.Encoder.2 vient d'être détecté par l'éditeur russe DrWeb.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malekal_morte
Site Admin
Site Admin
Messages : 95518
Inscription : 10 sept. 2005 13:57
Contact :

Re: Linux.Encoder.1 : premier ransomware pour Linux

Message par Malekal_morte » 30 nov. 2015 20:58

Le message a changé et réclame maintenant 999$


Le message laissé sur les sites piratés.
Saint777_encoder_message.png
Saint777 encoder
Le blog de la personne derrière ces piratages.
Saint777_encoder_message_2.png
Saint777 encoder
Apparemment le malware est encore en test.
Sans commentaire.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malekal_morte
Site Admin
Site Admin
Messages : 95518
Inscription : 10 sept. 2005 13:57
Contact :

Re: Linux.Encoder.1 : premier ransomware pour Linux

Message par Malekal_morte » 13 janv. 2016 11:37

La phase de test semble terminée et la campagne semble vraiment avoir débutée.
Il y a quelques jours 6000 sites étaient touchés et maintenant 10 000.
Linux_ransomware_9000_sites.png
Linux.Encoder 10 000 sites touchés
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
nam1962
Amateur Expert
Amateur Expert
Messages : 182
Inscription : 01 mars 2014 21:34
Contact :

Re: Linux.Encoder.1 : premier ransomware pour Linux

Message par nam1962 » 13 janv. 2016 14:14

N'est-ce pas une faille de Magento, plutôt qu'un ransomware Linux ? Même si le nom contient le mot linux.
Almanet doLys, Linux, open source et fintechs : mon tuto pour optimiser / finaliser une install
Xubuntu devel - Manjaro unstable - OpenSUSE tumbleweed Et vous ?
54 convertis GNU/Linux IRL (leur ai pas donné le choix, aussi...).
Un jeune site que j'aime bien, le top du T-shirt homme ...bio en plus : https://goudronblanc.com


Malekal_morte
Site Admin
Site Admin
Messages : 95518
Inscription : 10 sept. 2005 13:57
Contact :

Re: Linux.Encoder.1 : premier ransomware pour Linux

Message par Malekal_morte » 13 janv. 2016 17:00

Pas compris.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
nam1962
Amateur Expert
Amateur Expert
Messages : 182
Inscription : 01 mars 2014 21:34
Contact :

Re: Linux.Encoder.1 : premier ransomware pour Linux

Message par nam1962 » 13 janv. 2016 17:22

Les articles que j'ai pu voir sur le sujet signalent que Linux.Encoder.1 s'attaque à une faille de Magento. Il semble que ce soit plus un ransomware pour Magento qu'un ransomware pour Linux. Un patch Magento est à priori disponible depuis avril 2015 mais on continue à voir des tripotées de possesseur de Magento qui n'appliquent pas les mises à jour.
Almanet doLys, Linux, open source et fintechs : mon tuto pour optimiser / finaliser une install
Xubuntu devel - Manjaro unstable - OpenSUSE tumbleweed Et vous ?
54 convertis GNU/Linux IRL (leur ai pas donné le choix, aussi...).
Un jeune site que j'aime bien, le top du T-shirt homme ...bio en plus : https://goudronblanc.com

Malekal_morte
Site Admin
Site Admin
Messages : 95518
Inscription : 10 sept. 2005 13:57
Contact :

Re: Linux.Encoder.1 : premier ransomware pour Linux

Message par Malekal_morte » 13 janv. 2016 18:12

Ce rançongiciel s'attaque aux machines Linux, l'exploitation se fait via une vulnérabilité. Ne pas confondre : charge utile (rançongiciel) et vecteurs de l'infection (exploitation de vulnérabilités).

Aujourd'hui, c'est via une faille Mangento mais demain ça pourrait être sur WordPress, Joomla, cPanel, Webmin, PhpMyAdmin, etc.. ou encore sur l'exploitation d'accès à mots de passe faibles sur des services. Si aujourd'hui, la campagne utilise ce moyen, demain ce sera peut-être autre chose. Les systèmes embarqués Linux connectés sont bien plus nombreux que l'on imagine et certains ne sont quasiment pas administrés.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malekal_morte
Site Admin
Site Admin
Messages : 95518
Inscription : 10 sept. 2005 13:57
Contact :

Re: Linux.Encoder.1 : premier ransomware pour Linux

Message par Malekal_morte » 23 févr. 2016 11:32

CTB-Locker prend le relai pour cibler les sites WEB en GNU/Linux.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malekal_morte
Site Admin
Site Admin
Messages : 95518
Inscription : 10 sept. 2005 13:57
Contact :

Re: Linux.Encoder.1 : premier ransomware pour Linux

Message par Malekal_morte » 29 mars 2016 16:43

Autre cas le KimcilWare ransomware - la portée de ce dernier semble faible.

Le message :
###
ALL YOUR WEBSERVER FILES HAS BEEN LOCKED
You must send me 1 BTC to unlock all your files.
Pay to This BTC Address: xxx
Contact tuyuljahat@hotmail.com after you send me a BTC. Just inform me your website url and your Bitcoin Address.
I will check my Bitcoin if you realy send me a BTC I will give you the decryption package to unlock all your files.
Hope you enjoy Smiley Wink
###
KimcilWare_ransomware.png
KimcilWare ransomware
KimcilWare_ransomware_2.png
KimcilWare ransomware
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malekal_morte
Site Admin
Site Admin
Messages : 95518
Inscription : 10 sept. 2005 13:57
Contact :

Re: Ransomware pour Linux

Message par Malekal_morte » 24 févr. 2019 22:50

Un nouveau ransomware B0r0nt0K qui demande le paiement de 30 bitcoin (environ $75,000) pour récupérer les données.
Ce dernier vise donc les serveurs Linux.

Les fichiers touchés par le ransomware portent l'extension .rontok.
Le nom du fichier est aussi modifié, par exemple, cela peut donner zmAAwbbilFw69b7ag4G4bQ%3D%3D.rontok.

Pour le moment, le ransomware renvoie vers un site de paiement : https://borontok.uk/
Ce dernier demande de saisir l'identifiant (ID) fournit dans la note d'instruction déposés un peu partout sur les serveurs touchés.
L'adresse email info@botontok.uk peut aussi être utilisées pour les transactions.
B0r0nt0K-ransomware.png
site de paiement du ransomware B0r0nt0K qui vise les serveurs Linux
source : https://www.bleepingcomputer.com/news/s ... x-servers/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Actualité & News Informatique »