Pour demander de l'aide, vous devez vous créer un compte et vous connecter. Utilisez les boutons sociaux ci-dessous depuis ce lien : S'inscrire sur le forum
Plus d'informations : Comment demander de l’aide sur le forum

Ransomware pour Linux

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Malekal_morte
Site Admin
Site Admin
Messages : 102516
Inscription : 10 sept. 2005 13:57
Contact :

Ransomware pour Linux

Message par Malekal_morte »

Un nouveau ransomware chiffreurs de fichiers pour Linux a vu le jour dernièrement, il est baptisé Linux.Encoder.1.
Le prix de la récupération des documents 1 Bitcoin (~ $300) et le ransomware vise les extensions :
js, .css, .properties, .xml, .ruby, .php, .html, .gz, and .asp, as well as other file extensions like .rar, .7z, .xls, .pdf, .doc, .avi, .mov, .png, and .jpg.
Les dossiers visés par le ransomware :
/home
/root
/var/lib/mysql
/var/www
/etc/nginx
/etc/apache2
/var/log

Linux ne représente que 3% des postes bureautiques, ce ransomware vise essentiellement les serveurs.

Liens en rapport: Image

Le contenu en texte - le paiement se fait via TOR "comme d'habitude" :

Le contenu du fichier README_FOR_DECRYPT.txt :
Your personal files are encrypted! Encryption was produced using a unique public key RSA-2048 generated for this computer.

To decrypt files you need to obtain the private key.

The single copy of the private key, which will allow to decrypt the files, located on a secret server at the Internet. After that, nobody and never will be able to restore files...

To obtain the private key and php script for this computer, which will automatically decrypt files, you need to pay 1 bitcoin(s) (~420 USD).
Without this key, you will never be able to get your original files back.


______________________________________________

!!!!!!!!!!!!!!!!!!!!! PURSE FOR PAYMENT(ALSO AUTHORIZATION CODE): 1K6isaDRbMRKwqQsCtWJ3Fj2hWRAuGHh1j !!!!!!!!!!!!!!!!!!!!!
WEBSITE: https://z54n57pg2el6uze2.onion.to

INSTRUCTION FOR DECRYPT:

After you made payment, you should go to website https://z54n57pg2el6uze2.onion.to
Use purse for payment as ur authorization code (1K6isaDRbMRKwqQsCtWJ3Fj2hWRAuGHh1j).
If you already did the payment, you will see decryption pack available for download,
inside decryption pack - key and script for decryption, so all what you need just upload and run that script ( for example: http://ecommerce.strategiedimpresa.it/decrypt.php )

Also, at this website you can communicate with our supports and we can help you if you have any troubles,
but hope you understand we will not answer at any messages if you not able to pay.

!!!P.S. Our system is fully automatic, after payment you will receive you're decrypt pack IMMEDIATELY!!!

FAQ:
Q: How can I pay?
A: We are accept only bitcoins.

Q: Where to buy bitcoins?
A: We can't help you to buy bitcoins, but you can check link below: https://en.bitcoin.it/wiki/Buying_Bitco ... e_version)

Q: I already bought bitcoins, where i should send it.
A: 1K6isaDRbMRKwqQsCtWJ3Fj2hWRAuGHh1j

Q: What gonna happen after payment?
A: Download button for decryption pack will be available after you made payment

Q: I pay, but still can't download decryption pack
A: You need to wait 3 confirmations for bitcoin transaction.

Q: How to use decryption pack?
A: Put all files from archive to your server and just run decrpyt.php (example: website.com/decrypt.php)

Q: Can I pay another currency?
A: No.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Malekal_morte
Site Admin
Site Admin
Messages : 102516
Inscription : 10 sept. 2005 13:57
Contact :

Re: Linux.Encoder.1 : premier ransomware pour Linux

Message par Malekal_morte »

Premiers sites WEB infectés par Linux.Encoder.1 observés depuis le moteur de recherche Google

Aujourd'hui,
Linux.Encoder.1 : premier ransomware pour Linux
Linux.Encoder.1 : premier ransomware pour Linux
Des sites sont indexés plusieurs fois car Google indique les pages trouvées.

Comme souvent, la première version est buggué ce qui permet de déchiffrer les fichiers, BitDefender propose un script pour les récupérer : Linux Ransomware Debut Fails on Predictable Encryption Key.

Ceci a été corrigé dans la nouvelle version.

edit: Linux.Encoder.2 vient d'être détecté par l'éditeur russe DrWeb.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Malekal_morte
Site Admin
Site Admin
Messages : 102516
Inscription : 10 sept. 2005 13:57
Contact :

Re: Linux.Encoder.1 : premier ransomware pour Linux

Message par Malekal_morte »

Le message a changé et réclame maintenant 999$


Le message laissé sur les sites piratés.
Saint777 encoder
Saint777 encoder
Le blog de la personne derrière ces piratages.
Saint777 encoder
Saint777 encoder
Apparemment le malware est encore en test.
Sans commentaire.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Malekal_morte
Site Admin
Site Admin
Messages : 102516
Inscription : 10 sept. 2005 13:57
Contact :

Re: Linux.Encoder.1 : premier ransomware pour Linux

Message par Malekal_morte »

La phase de test semble terminée et la campagne semble vraiment avoir débutée.
Il y a quelques jours 6000 sites étaient touchés et maintenant 10 000.
Linux.Encoder 10 000 sites touchés
Linux.Encoder 10 000 sites touchés
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Avatar de l’utilisateur
nam1962
Amateur Expert
Amateur Expert
Messages : 182
Inscription : 01 mars 2014 21:34
Contact :

Re: Linux.Encoder.1 : premier ransomware pour Linux

Message par nam1962 »

N'est-ce pas une faille de Magento, plutôt qu'un ransomware Linux ? Même si le nom contient le mot linux.
Almanet doLys, Linux, open source et fintechs :
Xubuntu - Manjaro unstable - OpenSUSE tumbleweed - Debian - MXLinux
54 convertis GNU/Linux IRL (leur ai pas donné le choix, aussi...).

Malekal_morte
Site Admin
Site Admin
Messages : 102516
Inscription : 10 sept. 2005 13:57
Contact :

Re: Linux.Encoder.1 : premier ransomware pour Linux

Message par Malekal_morte »

Pas compris.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Avatar de l’utilisateur
nam1962
Amateur Expert
Amateur Expert
Messages : 182
Inscription : 01 mars 2014 21:34
Contact :

Re: Linux.Encoder.1 : premier ransomware pour Linux

Message par nam1962 »

Les articles que j'ai pu voir sur le sujet signalent que Linux.Encoder.1 s'attaque à une faille de Magento. Il semble que ce soit plus un ransomware pour Magento qu'un ransomware pour Linux. Un patch Magento est à priori disponible depuis avril 2015 mais on continue à voir des tripotées de possesseur de Magento qui n'appliquent pas les mises à jour.
Almanet doLys, Linux, open source et fintechs :
Xubuntu - Manjaro unstable - OpenSUSE tumbleweed - Debian - MXLinux
54 convertis GNU/Linux IRL (leur ai pas donné le choix, aussi...).

Malekal_morte
Site Admin
Site Admin
Messages : 102516
Inscription : 10 sept. 2005 13:57
Contact :

Re: Linux.Encoder.1 : premier ransomware pour Linux

Message par Malekal_morte »

Ce rançongiciel s'attaque aux machines Linux, l'exploitation se fait via une vulnérabilité. Ne pas confondre : charge utile (rançongiciel) et vecteurs de l'infection (exploitation de vulnérabilités).

Aujourd'hui, c'est via une faille Mangento mais demain ça pourrait être sur WordPress, Joomla, cPanel, Webmin, PhpMyAdmin, etc.. ou encore sur l'exploitation d'accès à mots de passe faibles sur des services. Si aujourd'hui, la campagne utilise ce moyen, demain ce sera peut-être autre chose. Les systèmes embarqués Linux connectés sont bien plus nombreux que l'on imagine et certains ne sont quasiment pas administrés.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Malekal_morte
Site Admin
Site Admin
Messages : 102516
Inscription : 10 sept. 2005 13:57
Contact :

Re: Linux.Encoder.1 : premier ransomware pour Linux

Message par Malekal_morte »

CTB-Locker prend le relai pour cibler les sites WEB en GNU/Linux.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Malekal_morte
Site Admin
Site Admin
Messages : 102516
Inscription : 10 sept. 2005 13:57
Contact :

Re: Linux.Encoder.1 : premier ransomware pour Linux

Message par Malekal_morte »

Autre cas le KimcilWare ransomware - la portée de ce dernier semble faible.

Le message :
###
ALL YOUR WEBSERVER FILES HAS BEEN LOCKED
You must send me 1 BTC to unlock all your files.
Pay to This BTC Address: xxx
Contact [email protected] after you send me a BTC. Just inform me your website url and your Bitcoin Address.
I will check my Bitcoin if you realy send me a BTC I will give you the decryption package to unlock all your files.
Hope you enjoy Smiley Wink
###
KimcilWare ransomware
KimcilWare ransomware
KimcilWare ransomware
KimcilWare ransomware
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Malekal_morte
Site Admin
Site Admin
Messages : 102516
Inscription : 10 sept. 2005 13:57
Contact :

Re: Ransomware pour Linux

Message par Malekal_morte »

Un nouveau ransomware B0r0nt0K qui demande le paiement de 30 bitcoin (environ $75,000) pour récupérer les données.
Ce dernier vise donc les serveurs Linux.

Les fichiers touchés par le ransomware portent l'extension .rontok.
Le nom du fichier est aussi modifié, par exemple, cela peut donner zmAAwbbilFw69b7ag4G4bQ%3D%3D.rontok.

Pour le moment, le ransomware renvoie vers un site de paiement : https://borontok.uk/
Ce dernier demande de saisir l'identifiant (ID) fournit dans la note d'instruction déposés un peu partout sur les serveurs touchés.
L'adresse email [email protected] peut aussi être utilisées pour les transactions.
site de paiement du ransomware B0r0nt0K qui vise les serveurs Linux
site de paiement du ransomware B0r0nt0K qui vise les serveurs Linux
source : https://www.bleepingcomputer.com/news/s ... x-servers/
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Malekal_morte
Site Admin
Site Admin
Messages : 102516
Inscription : 10 sept. 2005 13:57
Contact :

Re: Ransomware pour Linux

Message par Malekal_morte »

Un autre ransomware commence à faire parler de lui Lilocked (ou Lilu).
Ils visent les serveurs WEB en Linux.
6700 serveurs seraient déjà touchés.
Le paiement est d'environ $35 dollars.

Note de paiement du ransomware Lilocked
Note de paiement du ransomware Lilocked
Note de paiement du ransomware Lilocked
Note de paiement du ransomware Lilocked
source : https://www.zdnet.com/article/thousands ... ansomware/
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Répondre

Revenir à « Actualité & News Informatique »