Linux
   Home  |  Notícias  |  Artigos  |  Dúvidas  |  Anuncie  | Comunidades |  Parceiros  |  Contato
Login
Facebook  Twitter
Login


Notícias

Publicado em 09/11/2015 22:40:23

Novo Ransomware Atacando Servidores Web Linux


Um determinado tipo de ransomware que foi recém-descoberto, está atacando servidores Web Linux, tendo como objetivo chave comprometer ambientes de desenvolvimento da Web usados para hospedar sites ou repositórios de código. Nesse contexto, a fabricante russa fabricante de antivírus Dr. Web deparou com este tipo de malware e disse que o ransomware precisa de privilégios de root para executar o seu trabalho. Além disso, a empresa também disse que ainda não sabe como este ransomware consegue infectar computadores, mas levando em conta as infecções por malware baseados em investidas anteriores envolvendo sistemas Linux, o principal culpado pode ser uma vulnerabilidade no SSH com credenciais fracas (o que ainda não foi confirmado). Além disso, o tal do ransomware em questão usa criptografia AES para bloquear arquivos. Quanto ao seu modus operandi, o ransomware começa a liberar a mensagem de resgate, e em seguida, um arquivo que contém a chave pública RSA. Esta última chave é então, é usada para armazenar chaves AES que são utilizadas para criptografar os arquivos locais. Quando isso acontece, o ransomware adiciona a extensão .encrypt para cada arquivo, e coloca uma mensagem de texto de resgate em cada pasta onde ele criptografa os dados.

Este ransomware tem uma preferência específica para páginas da Web e sua extensão de arquivo associado. Além disso, o malware visa especificamente os arquivos em pastas que são geralmente encontrados em configurações de servidor Web Linux, ou mesmo na codificação e em ambientes de desenvolvimento. Isso inclui diretórios como o /home, /root/var/lib/mysql,/var/www/etc/nginx/etc/apache2/var/log, e qualquer diretório que possa incluir termos como git, svn, webapp, www, public_html ou backup. E como se não bastasse, o ransomware também procura por arquivos que tenham extensões específicas para ambientes de desenvolvimento Web como js, css, .properties, .xml, .ruby, .php .html, .gz, .asp e outros. Ressaltando que outras extensões de arquivo conhecidos para hospedar dados também são incluídos (.rar, .7z, .xls, .pdf, .doc, .avi, .mov, .png, .jpg, etc.). Em meio as análises feitas, a equipe da Dr.Web detectou o ransomware como Linux.Encoder.1. 

Após uma análise extra e bastante cuidadosa, a empresa disse que Linux.Encoder.1 é codificado em C e também usa a biblioteca PolarSSL. Portanto, caso alguém seja vítima desta praga, os pesquisadores da Dr. Web recomendam que as pessoas façam o backup de todos os seus dados e mantenham todos os arquivos no lugar, até que seja criado um sistema de decodificação.


Fonte: Under Linux

Seja o primeiro a fazer um comentario.




    Logar-se


Links Patrocinados

iCloudWeb - Otimizando Negócios

Impofácil

Bugroon Raízes

Untitled Document

 

Copyright © 2017 SoumaisLinux.com.br . Conteúdo distribuido sob licença GNU FDL