El ransomware comenzo el ataque a servidores Linux

[Alejo]

El ransomware evoluciona. Atacar terminales aisladas tiene un éxito cada vez menor, por lo tanto, sus creadores han decidido cambiar de objetivo, concentrando sus esfuerzos sobre servidores Linux.

 

 

 

El último ejemplo fue identificado como Linux.Encoder.1. La gente de Dr. WEB explica que el ransomware cifra los archivos en las carpetas /home, /root, /var/lib/mysql, /var/www, /etc/nginx, /etc/apache2 y /var/log, para luego avanzar sobre cualquier cosa identificada como git, svn, www, webapp, backup y public_html. Hasta aquí, la sensación es que el Linux.Encoder.1 no deja cabos sueltos, y como precio por el rescate demanda la suma de un Bitcoin, que de acuerdo a CoinDesk son unos 344 dólares.

 

 

Entonces, ¿qué sucedió? Las mentes de Bitdefender comenzaron a estudiar más a fondo el funcionamiento de Linux.Encoder.1, especialmente la forma en que genera claves AES. Esto se lleva a cabo sobre el sistema afectado, pero en vez de crear elementos verdaderamente aleatorios, lo único que hace es tomar los valores necesarios de la función libc rand(), alimentada con la marca de tiempo del ordenador al momento del ataque. En resumen, todo lo que se necesita es un script para obtener la clave AES y liberar los archivos. La herramienta es simple, pero no así su utilización, y Bitdefender ofrece instrucciones precisas (enlace más abajo) que permiten llegar a buen puerto. La historia de Linux.Encoder.1 parece terminada, pero no hay dudas de que buscará revancha.

 

Puedes seguir el siguiente enlace para mas ayuda:

 

BITDEFENDER