Novo ransomware afeta servidores e sistemas com Linux
O ransomware é uma técnica que têm vindo a ser cada vez mais utilizada por utilizadores mal-intencionados. Esta encripta todos os dados de um sistema, obrigando o utilizador a realizar um pagamento para reaver o seu conteúdo.
Apesar desta prática ser mais comum em sistemas Windows, recentemente foi descoberta uma variante de ransomware destinada a sistemas Linux, nomeadamente a servidores web. A empresa de segurança Doctor Web revelou ter descoberto o apelidado “Linux.Encoder.1”, uma versão de ransomware que possui como alvo sistemas baseados no Linux. Este malware propaga-se, principalmente, através de uma falha existente em instalações do CMS Magneto, utilizado em vários websites de compras online.
Uma vez no sistema, o malware necessita de permissões administrativas (root) para ser executado, procedendo com a encriptação de vários ficheiros. Os ficheiros permanecem encriptados utilizando uma chave de 128 bits AES.
O principal alvo aparenta ser as instalações do Apache, Nginx e MySQL, sendo que os primeiros ficheiros a serem encriptados encontram-se na diretoria “home”. Posteriormente este avança para outras localizações, como as pastas de registos do sistema e dos principais programas, bases de dados e ficheiros variados (ASP, javascript, SQL, java, entre outros).
Em cada pasta que sejam encriptados ficheiros é colocado um ficheiro de texto “README_FOR_DECRYPT.txt”, com instruções para proceder ao pagamento e desbloqueio dos ficheiros. Uma vez realizado o pagamento, os ficheiros são desencriptados e todos os ficheiros de texto criados são automaticamente removidos.
A empresa de segurança afirma que o malware encontra-se atualmente em “algumas centenas” de servidores, mas poderá aumentar no futuro. Já relativamente à falha da Magneto, a empresa responsável pelo CMS disponibilizou a correção da mesma no passado dia 31 de Outubro.
Via ArsTechnica