Un cryptolocker minaccia gli utenti di Linux

6 novembre 2015

Doctor Web mette in guardia gli utenti sul fatto che si sta propagando un nuovo trojan cryptolocker capace di infettare i sistemi operativi della famiglia Linux. La scelta delle directory in cui il trojan cripta file permette di pensare che il bersaglio principale degli hacker siano gli amministratori di siti sulla cui macchina è installato un proprio server web. In alcuni casi sono stati registrati degli attacchi a web server attraverso la vulnerabilità CMS Magento. Gli specialisti Doctor Web ipotizzano che almeno alcune decine di utenti siano rimaste vittime del programma malevolo.

La minaccia informatica scoperta è stata inserita nel database dei virus dell'azienda Doctor Web sotto il nome del Linux.Encoder.1. Dopo l'avvio con i privilegi di amministratore, il trojan scarica file con le pretese degli hacker e un file contenente il percorso della chiave RSA pubblica, dopodiché si avvia come un daemon e rimuove i file originali. Questa chiave RSA viene utilizzata successivamente per conservare le chiavi AES attraverso cui il trojan cripta file sul computer infetto.

In primo luogo, il Linux.Encoder.1 cripta tutti i file nelle directory home degli utenti e nelle directory della gestione di siti web. In seguito il cryptolocker esamina in modo ricorsivo tutto il file system: prima iniziando dalla directory in cui è stato avviato e come il passo successivo dalla directory radice "/". Cripta i file con le estensioni presenti in una lista impostata e solo a condizione che il nome della directory inizia con una delle stringhe impostate dai pirati informatici.

I file colpiti hanno l'estensione .encrypted. In ogni directory contenente file criptati il trojan mette un file con le pretese dei malintenzionati: la vittima dovrebbe pagare la decriptazione nella criptovaluta Bitcoin.

Doctor Web consiglia agli utenti di cui i file sono stati criptati di rivolgersi al servizio di supporto tecnico descrivendo dettagliatamente la situazione e allegando alcuni campioni dei file criptati. Per una decriptazione corretta dei file, è importante che l'utente non rimuova e non modifichi nessuno dei file criptati in quanto durante tale azione potrebbero andare perse le informazioni necessarie per il recupero dei dati.

© "Doctor Web"
2003 — 2024

Doctor Web è un’azienda russa per la sicurezza informatica, produttrice degli antivirus “Dr.Web”. I nostri prodotti, sviluppati fin dal 1992, sono capaci di soddisfare un’esigenza essenziale dell’impresa odierna — quella della sicurezza dell’informazione. Doctor Web è un’azienda all’avanguardia nel suo settore anche perché siamo uno dei pochi fornitori di antivirus nel mondo che possiedono tecnologie di rilevamento e trattamento di programmi malevoli proprie. Il sistema di protezione antivirale Dr.Web consente ai sistemi d’informazione dei nostri clienti di resistere validamente a qualsiasi minaccia informatica, persino a quelle ancora sconosciute. Doctor Web è stata la prima azienda che ha lanciato sul mercato russo il modello innovativo di distribuzione dell’antivirus come servizio e oggi è il leader incondizionato del mercato dei web service di sicurezza forniti ai venditori dei servizi IT. I programmi Dr.Web, creati da esperti programmatori russi, hanno acquistato la fiducia degli utenti in diversi paesi del mondo e hanno ricevuto molteplici premi e certificati di approvazione dello stato grazie alla loro elevata qualità.

Altre risorse:
www.drweb.com – il sito ufficiale dell'azienda "Doctor Web"
www.av-desk.com – il sito del progetto Dr.Web AV-Desk