Le premier ransomware pour Linux fait un flop

Le par  |  6 commentaire(s)
tux-lit-journal

Les systèmes Linux s'ajoutent à la liste des cibles des ransomwares. Mais le nuisible Linux.Encoder.1 a une faille.

Doctor Web a récemment découvert une nouvelle espèce de ransomware qui cible les systèmes Linux et en particulier les serveurs Web. Baptisé Linux.Encoder.1 et exécuté avec des droits administrateur, il part en quête de fichiers à chiffrer dans les répertoires home, root, mysql, www, nginx, apache2 et log.

Il s'attaque ensuite au reste du système de données pour chiffrer certains contenus de répertoires avec des noms commençant par public_html, www, webapp, backup, .git et .svn. Le chiffrement utilisé est AES 128 bits.

Dans un fichier README_FOR_DECRYPT.txt pour chaque répertoire affecté, il est demandé le paiement d'une rançon de 1 bitcoin (près de 350 € actuellement) afin d'obtenir la clé privée et un script PHP permettant de déchiffrer les fichiers pris en otages.

Linux.Encoder.1
Toutefois, Bitdefender vient de découvrir que Linux.Encoder.1 a une faille majeure dans son processus de chiffrement qui lui a permis de récupérer la clé AES sans avoir à déchiffrer avec la clé privée RSA.

La faille vient du fait que le malware génère les clés et les vecteurs d'initialisation à partir de la fonction rand() de la bibliothèque libc en fonction de l'horodatage du système au moment du chiffrement. En remontant la piste, Bitdefender a ainsi pu créer un outil de déchiffrement proposé gratuitement.

Alors non… ici, il ne faut pas payer la rançon !

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1867392
mouhaha.

Un petit mot sur le process d'infection des machines aurait été un plus. mieux vaut prévenir que guérir
Le #1867407
Visiblement une attaque DDOS et l'usage de faille de sécurité

https://debian-facile.org/viewtopic.php?id=12557
https://protonmaildotcom.wordpress.com/

Edit: le cas de Protonmail n'est rien à voir avec Linux.Encoder.1.
Ils ont subit une attaque DDOS et ont du payer 5000€ pour que cesse l'attaque, ensuite ils ont essuyé une deuxième attaque avec des tentatives de compromissions de service.
Le #1867415
Fallait s'y attendre que Tux allait, un jour ou l'autre, devenir la cible de logiciels malveillants mais bon, c'est pas encore ça

La note au bulletin du concepteur : 2/10 ... Fait de gros efforts pour faire peur mais déplace beaucoup d'octets pour rien
Le #1867464
Vous avez parfaitement résumé toute l'affaire : un "flop" - c'est exactement le mot qui convient ! Quand on voit d'autres journaux web se vautrer dans le spectaculaire sur cette news, que l'aspect sporadique dispute à l'insignifiance nombrilistique de pseudo-narrateurs, aussi journalistes et spécialistes d'un jour qu'une taupe américaine en quête d'armes de destruction massives irakiennes, ça fait toujours plaisir de voir que certains ont conservé quelques neurones et un peu de bon sens...
Ça devient tellement rare de nos jours !

Le #1867478
Ah, les joies des fonctions de génération de nombre "aléatoire"....
Le #1867520
Pour arriver à chiffrer tout l'internet?

Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]