Доступний інструмент для розшифровки файлів, заражених Linux.Encoder.1

  1. Провал вимагача під Linux викликаний передбачуваним ключем шифрування
  2. Як це працює?
  3. Детальніше про шифрування
  4. Помилка на мільйон доларів
  5. Доступний автоматизований інструмент для розшифровки
  6. Покрокова інструкція по відновленню доступу над файлами:

Антивірусний вендор Bitdefender випустив інструмент для дешифрування файлів, який автоматично відновлює інфіковані Linux.Encoder.1 файли в початковий стан

1 файли в початковий стан

Провал вимагача під Linux викликаний передбачуваним ключем шифрування

Немає необхідності зламувати криптографічний алгоритм RSA, коли Ви можете вгадати ключ шифрування.

Трояни-вимагачі, шифрувальні призначені для користувача файли, широко поширені в системах Windows. Це був тільки питання часу для появи подібних загроз на Linux. Dubbed Linux.Encoder.1 є першим зразком вимагача для Linux і по своїй поведінці дуже нагадує CryptoWall, TorLocker і інші сумнозвісні сімейства вимагачів для Windows.

Як це працює?

Linux.Encoder.1 виповнюється на комп'ютері жертви під управлінням ОС Linux після того, як зловмисники змогли скористатися вразливістю в популярній системі управління контентом (CMS) Magento. При запуску троян виконує пошук директорії / home, / root and / var / lib / mysql і починає зашифровувати її вміст. Також, як і аналогічні трояни для Windows, він зашифровує файли за допомогою алгоритму AES (симетричний алгоритм блочного шифрування), який забезпечує достатню надійність і швидкість при мінімальному споживанні системних ресурсів. Потім симетричний ключ шифрується асиметричним алгоритмом шифрування (RSA) і додається в файл спільно з вектором ініціалізації AES.

Коли файли були зашифровані, троян намагається також зашифровувати вміст root (/), пропускаючи тільки критичні системні файли, тому операційна система зможе повторно завантажитися.

У цей момент можна з упевненістю припустити, що користувачі не зможуть повернути свої дані, якщо не заплатять певний внесок операторам для отримання приватного ключа RSA для розшифровки файлів, зашифрованих за допомогою AES. Проте, головна вразливість трояна дозволила дослідникам Bitdefender відновити ключ AES без розшифровки його за допомогою приватного ключа RSA.

Детальніше про шифрування

Протягом усього 2015 року більшість крипто-вимагачів використовували змішані алгоритми для "утримування в заручниках" цінну інформації. Для швидкого і ефективного шифрування великих обсягів даних, крипто-вимагачі використовували алгоритм Advanced Encryption Standard (AES) - алгоритм шифрування, який використовує симетричні ключі (один і той же ключ для шифрування і розшифровки). Щоб уникнути перехоплення ключа шифрування при переправленні його з сервера управління, оператори крипто-вимагачів зазвичай доповнюють AES алгоритмом RSA (алгоритм шифрування з асиметричними ключами). RSA генерує пару додаткових загальнодоступного і приватного ключів - ключ загального користування використовується для шифрування, а приватний ключ для розшифровки. Ці ключі зазвичай генеруються на сервері хакерів, і тільки загальнодоступний ключ відправляється на машину жертви. Так як, з точки зору споживання ресурсів, RSA є менш ефективні алгоритмом при роботі з великим об'ємом даних, публічний ключ використовується тільки для шифрування невеликого, але критично важливої ​​ділянки інформації: ключа шифрування, використовуваного AES, який генерується на локальній машині. Зашифрований по RSA ключ AES потім вставляється в початок кожного зашифрованого файлу разом з оригінальними дозволами файлу і вектором ініціалізації, використовуваним AES.

Помилка на мільйон доларів

Ми вже згадали, що ключ AES генерується локально, на комп'ютері жертви. Дослідники Bitdefender розглянули спосіб генерації ключа і вектора ініціалізації шляхом аналізу інженерного зразка Linux.Encoder.1 у власній лабораторії. Фахівці розуміють, що замість генерації захищених випадкових ключів і векторів ініціалізації, зразок буде отримуватиме обидві ділянки даних з функції libc rand (), яка прив'язана до мітки часу в конкретний момент шифрування. Це серйозна уразливість, яка дозволяє витягувати ключ шифрування AES без розшифровки його за допомогою загальнодоступного ключа RSA, що продається оператором трояна.

Доступний автоматизований інструмент для розшифровки

Bitdefender є першим вендором антивірусного ПО, який випустив інструмент для дешифрування, який автоматично відновлює інфіковані файли в початковий стан. Інструмент визначає вектор ініціалізації і ключ шифрування за допомогою простого аналізу файлу потім виконує розшифровку і виправлення дозволів файлового доступу. Якщо Ви можете завантажити інфікований комп'ютер, скачайте скрипт і запустіть його з правами адміністратора.

Покрокова інструкція по відновленню доступу над файлами:

  • скачайте скрипт Decrypter_0.2.zip зі сховищ лабораторії Bitdefender (є ймовірність, що шифрування вплинуло на працездатність системи, тому може знадобитися завантаження з завантажувального диска або завантаження інфікованого розділу на чистій машині)
  • Змонтуйте зашифрований розділ за допомогою команди mount / dev / [encrypted_partition]
  • Згенеруйте список зашифрованих файлів за допомогою команди / mnt # sort_files.sh encrypted_partition> sorted_list
  • Виконайте команду для отримання першого файлу: / mnt # head -1 sorted_list
  • Запустіть утиліту для дешифрування для отримання початкового блоку шифрування: / mnt # python decrypter.py -f [first_file]
  • Розшифруйте всі файли з використанням відображуваного ключа шифрування: / mnt # python decrypter.py -f [first_file]

З огляду на складність завдань, Bitdefender надає безкоштовну підтримку будь-якому користувачеві, якому потрібна допомога. Надішліть коментар за допомогою форми на сторінці http://labs.bitdefender.com/2015/11/linux-ransomware-debut-fails-on-predictable-encryption-key/?sm_id=SMGlobal і команда Bitdefender допоможе усунути зараження.

Якщо ваша машина була зламана, розгляньте заходи безпеки. Більшість операторів крипто-вимагачів приділяють особливу увагу способами генерації ключів, щоб переконатися в збереженні зашифрованого стану користувальницьких плати до оплати. Помилки, подібні описаній, зустрічаються рідко і є великою удачею. У наступній раз прийміть профілактичні заходи: ніколи не запускайте додатки, яким Ви повністю не довіряєте. Невідомі додатки можуть представляти серйозний ризик безпеки і ймовірно інфікують систему або порушать цілісність даних.

Регулярно робіть резервні копії даних. Якщо комп'ютер стане жертвою вимагача, найпростішим способом повернення доступу буде відновлення файлів з резервної копії. Пам'ятайте, що легкі гроші є головним мотиватором для операторів крипто-здирників, які розробляють такі загрози і вдосконалюють їх. Чим менше прибутку вони отримають, тим менше їх буде цікавити дана сфера.

Якщо ваш пристрій на Linux є частиною корпоративної мережевої інфраструктури, Ви можете розглянути установку спеціалізованого рішення безпеки - Bitdefender Gravity Zone. Продукт блокує даний тип загроз ще до того, як зловредів зможе необоротно зашифрувати файли.

Знайшли друкарську помилку? Виділіть і натисніть Ctrl + Enter

Як це працює?
Com/2015/11/linux-ransomware-debut-fails-on-predictable-encryption-key/?
Знайшли друкарську помилку?

Уважаемые партнеры, если Вас заинтересовала наша продукция, мы готовы с Вами сотрудничать. Вам необходимо заполнить эту форму и отправить нам. Наши менеджеры в оперативном режиме обработают Вашу заявку, свяжутся с Вами и ответят на все интересующее Вас вопросы.

Или позвоните нам по телефонам: (048) 823-25-64

Организация (обязательно) *

Адрес доставки

Объем

Как с вами связаться:

Имя

Телефон (обязательно) *

Мобильный телефон

Ваш E-Mail

Дополнительная информация: