Nel nuovo anno c'è un nuovo cryptolocker per Linux

12 gennaio 2016

All'inizio del 2016 i pirati informatici hanno fatto un "regalo" agli utenti di Linux avendo lanciato una nuova versione del cryptolocker destinato a questo sistema operativo. La nuova versione, che è stata esaminata dagli specialisti Doctor Web e denominata Linux.Encoder.3, possiede diverse differenze significative rispetto alle versioni più vecchie.

A quanto pare, i malintenzionati hanno seguito i suggerimenti di una società antivirus che aveva specificato dettagliatamente gli errori commessi dagli autori nel codice di Linux.Encoder.1: gli errori sono stati prontamente corretti. Come nelle versioni precedenti di Linux.Encoder, questo campione penetra nella directory home di siti web utilizzando uno script shell, che i malintenzionati introducono nei vari sistemi di gestione dei contenuti sfruttando alcune vulnerabilità su cui attualmente non ci sono informazioni. Per il funzionamento il Linux.Encoder.3 non ha bisogno dei permessi di superutente Linux, il trojan si avvia con i privilegi del server web i quali gli bastano per criptare tutti i file nella directory home del sito. Per oggi all'azienda Doctor Web si sono già rivolti diversi proprietari di risorse Internet colpite dalle attività del Linux.Encoder.3.

Gli autori hanno modificato l'algoritmo crittografico utilizzato dal trojan (sulla base dei suggerimenti dell'azienda antivirus, come abbiamo menzionato sopra); è rimasta la stessa l'estensione dei file criptati, cioè .encrypted. Una differenza significativa rispetto alle versioni precedenti del cryptolocker è il fatto che il Linux.Encoder.3 è capace di memorizzare la data di creazione e di modifica del file originale e di sostituire la data con il valore memorizzato del file dopo la criptazione. Ciascuna copia del programma malevolo utilizza una propria chiave di crittografica unica, creata in base alle caratteristiche dei file cifrati e ai valori generati in modo casuale.

Una serie di caratteristiche di architettura di Linux.Encoder.3 rende possibile la decifratura dei file corrotti a seguito delle attività di questo programma malevolo. Tuttavia, siccome l'azienda antivirus sopramenzionata ha nuovamente pubblicato un'analisi del trojan che descrive dettagliatamente gli ulteriori punti di debolezza del malware, i malintenzionati potrebbero approfittarsi di queste informazioni per aggiornare il cryptolocker. Tra poco con molta probabilità comparirà una successiva versione di Linux.Encoder, modificata per ostacolare la decriptazione di file corrotti da questo programma malevolo.

Se i vostri file sono stati resi non disponibili in seguito alla penetrazione del Linux.Encoder.3, eseguite le seguenti azioni:

• fate una relativa denuncia alla polizia;
• in nessun caso provate a modificare in qualche modo i contenuti delle cartelle con i file criptati;
• non eliminate alcun file sul server;
• non provate a ripristinare i file cifrati in modo autonomo;
• rivolgetevi al servizio di supporto tecnico Doctor Web (questo servizio è gratis per gli utenti delle licenze commerciali Dr.Web);
• allegate al ticket qualsiasi file criptato dal trojan;
• attendete una risposta di un tecnico del supporto; siccome abbiamo una grande quantità di richieste, l'attesa potrebbe richiedere un certo tempo.

Vi ricordiamo che i servizi di decriptazione di file vengono forniti soltanto ai titolari delle licenze commerciali dei prodotti antivirus Dr.Web. L'azienda Doctor Web non dà una completa garanzia di decriptazione di tutti i file colpiti dalle attività del cryptolocker, però i nostri specialisti faranno ogni sforzo per ripristinare le informazioni criptate.

© "Doctor Web"
2003 — 2024

Doctor Web è un’azienda russa per la sicurezza informatica, produttrice degli antivirus “Dr.Web”. I nostri prodotti, sviluppati fin dal 1992, sono capaci di soddisfare un’esigenza essenziale dell’impresa odierna — quella della sicurezza dell’informazione. Doctor Web è un’azienda all’avanguardia nel suo settore anche perché siamo uno dei pochi fornitori di antivirus nel mondo che possiedono tecnologie di rilevamento e trattamento di programmi malevoli proprie. Il sistema di protezione antivirale Dr.Web consente ai sistemi d’informazione dei nostri clienti di resistere validamente a qualsiasi minaccia informatica, persino a quelle ancora sconosciute. Doctor Web è stata la prima azienda che ha lanciato sul mercato russo il modello innovativo di distribuzione dell’antivirus come servizio e oggi è il leader incondizionato del mercato dei web service di sicurezza forniti ai venditori dei servizi IT. I programmi Dr.Web, creati da esperti programmatori russi, hanno acquistato la fiducia degli utenti in diversi paesi del mondo e hanno ricevuto molteplici premi e certificati di approvazione dello stato grazie alla loro elevata qualità.

Altre risorse:
www.drweb.com – il sito ufficiale dell'azienda "Doctor Web"
www.av-desk.com – il sito del progetto Dr.Web AV-Desk