Linux.Encoder.1 вразив тисячі сайтів, як позбутися шкідливості
Xakep #240. Ghidra
Раніше ми вже розповідали про трояна-шифрувальника Linux.Encoder.1, який орієнтований не просто на користувачів Linux, але на адміністраторів веб-сайтів. Шкідливість виявився досить успішним: він уже зумів вразити вже понад 2500 сайтів. Однак цієї малварі можна порівняно легко позбутися, і навіть відновити дані, не виплачуючи при цьому викуп зловмисникам.
Але ті, кому не пощастило зіткнутися з Linux.Encoder.1 особисто, можуть не поспішати впадати у відчай: для відновлення даних не обов'язково платити викуп хакерам (сума викупу на даний момент становить $325). До того ж, навіть заплативши зловмисникам гроші, ви можете не одержати свої файли назад. Браян Кребс у своєму блозі описує випадок, коли постраждалому адміністратору після оплати не вдалося відновити дані. "Дешифрувальний скрипт, який повинен відновити дані, якимось чином зжер деякі символи в ряді файлів ... додав кому, або зайву прогалину", - описує постраждалий.
Платні передплатники програм Dr. Web Security Space та Dr. Web Enterprise Security Suite можуть звернутися за відновленням даних у службу підтримки компанії.
Або можна розшифрувати файли самостійно. Справа в тому, що зловмисники припустилися серйозної помилки. Для генерації ключів використовується AES, і цей процес закрався баг. Фахівці компанії Bitdefender виявили, що "AES-ключ генерується локально, на комп'ютері жертви, замість генерації надійних випадкових ключів та IV". Експерти Bitdefender були такі люб'язні, що випустили безкоштовний Python 2.7 скрипт, який дозволяє вилучити Linux.Encoder-ключ і IV із зараженого сервера.
Якщо такої можливості немає, можна скористатися якимось Linux live USB stick, таких програм багато: LinuxLiveUSB,UnetBootin, дистрибутив Linux із SystemRescueCD.
Змонтуйте зашифрований розділ, використовуючи шелл:
Згенеруйте список зашифрованих файлів:
/mnt# sort_files.sh encrypted_partition > sorted_list
Виконайте head-команду, щоб дістатися першого файлу:
/mnt# head -1 sorted_list
Запустіть дешифруючу утиліту:
/mnt# python decrypter.py -f [first_file]
Розшифруйте всі інші заражені файли за допомогою: