Au mois de novembre dernier, Doctor Web sonnait l'alerte au sujet d'un ransomware prenant pour cible les serveurs Web sur Linux. Heureusement, ce premier ransomware pour Linux avait été conçu avec une faille majeure dans son processus de chiffrement malveillant.
Bitdefender a ainsi pu proposer un outil gratuit pour récupérer les fichiers pris en otage sans devoir payer la moindre rançon. Par la suite, il a été découvert l'existence d'une version plus ancienne de Linux.Encoder mais encore plus facile à déchiffrer (probablement un prototype).
La troisième itération de ce ransomware n'est toujours pas la bonne. Son auteur a bel et bien apporté des corrections pour les précédents " bugs " mais elle demeure vulnérable à des attaques pour une récupération des clés de chiffrement.
La faiblesse se situe au niveau de la génération d'une clé AES 256 bits avec le hachage d'octets aléatoires. " Apparemment, son auteur a complètement oublié de sélectionner un algorithme de hachage, le résultat de la fonction de hachage est ainsi inchangé. […] La clé AES complète est désormais écrite dans le fichier chiffré, sa récupération est alors une promenade de santé ", écrit un chercheur de Bitdefender Labs.
La nouvelle variante de Linux.Encoder aurait infecté plus de 600 serveurs. Bitdefender propose au téléchargement un utilitaire de déchiffrement. Attention à la prochaine évolution de ce ransomware. Son auteur ne commettra peut-être plus d'erreurs...
