Mã độc Ransomware nhắm vào máy chủ Linux

ransomware-linux-logoMột mã độc ransomware mới được phát hiện đang tấn công các máy chủ Web Linux. Nó cũng đang nhắm vào môi trường phát triển web (Web development environments) được sử dụng để lưu trữ các trang web hoặc kho lưu trữ mã.

 

Nhà sản xuất phần mềm diệt virus của Nga – Dr.Web đã xem qua phần mềm độc hại này và cho rằng mã độc ransomware cần quyền root để hoạt động. Ngoài ra, công ty cũng cho biết họ vẫn chưa biết làm thế nào ransomware lây nhiễm vào máy tính, nhưng xem xét đến tài khoản bị nhiễm phần mềm độc hại trước đó, thủ phạm chính có thể là một cổng SSH mở với các thông tin yếu (chưa được xác nhận).

Mã độc ransomware sử dụng mã hóa AES để khóa các tập tin

Khi khởi chạy mã độc ransomware, nó bắt đầu tải về thông điệp ransom và sau đó là một file chứa khóa RSA công cộng. Khóa này sau đó được sử dụng để lưu trữ AES – dùng để mã hóa các tập tin cục bộ.

Khi điều này xảy ra, mã độc ransomware thêm vào phần mở rộng mã hóa đến từng tập tin và đặt một ransom text message trong mỗi thư mục mà nó mã hóa dữ liệu.

Ransomware nhắm vào các trang web và các tập tin mở rộng liên quan của chúng

Các phần mềm độc hại đặc biệt nhắm vào các tập tin trong thư mục thường được tìm thấy trong thiết lập máy chủ Web Linux, hoặc trong phần mã hóa và môi trường phát triển.

Bao gồm các thư mục như / home, / root, / var / lib / mysql, / var / www, / etc / nginx, / etc / apache2, / var / log, và bất kỳ thư mục có các điều khoản như git, svn, webapp, www, public_html, hoặc backup.

Ransomware cũng tìm kiếm tập tin có phần mở rộng hướng đến môi trường phát triển Web như js, css, .properties, .xml, .ruby, .php, .html, gz, asp, và such. Phần mở rộng tập tin khác dùng để lưu trữ dữ liệu cũng bao gồm trong sự tìm kiếm của mã độc (.rar, .7z, .xls, .pdf, .doc, avi, mov, .png, .jpg, vv).

Dr.Web phát hiện ra mã độc ransomware: Linux.Encoder.1. Sau khi phân tích cẩn thận, công ty cho biết rằng Linux.Encoder.1 được mã hóa bằng C và cũng sử dụng thư viện PolarSSL.

Dưới đây là một hình ảnh của tin nhắn trao đổi được gửi cho các nạn nhân. Các khoản tiền chuộc chỉ là 1 Bitcoin (tương đương $ 300- $ 400), nó ở dưới mức trung bình từ 2-4 Bitcoin mà hầu hết các nhà khai thác mã độc đòi hỏi.

ransomware-linux

Nguồn : softpedia.com

https://vnitnews.com

Leave a Reply

Email của bạn sẽ không được hiển thị công khai.