Infos

Un ransomware Linux épargne les utilisateurs de l’ex-CEI

Des chercheurs de chez Malwarebytes ont identifié une nouvelle version du premier malware de chiffrement de l’histoire pour GNU/Linux. Ce petit nouveau présente ses excuses aux habitants des pays ayant appartenu à la CEI et se déclare prêt à déchiffrer les fichiers gratuitement.

Pour rappel, ce malware baptisé Linux.Encoder par Doctor Web (les logiciels de Kaspersky Lab le détectent sous le nom Ransom.Linux.Cryptor et Trojan-Ransom.FreeBSD.Cryptor), est apparu au début du mois de novembre sur les radars des éditeurs de logiciels antivirus. Il s’exécute avec des autorisations d’administrateur et procède à un chiffrement, à l’instar de nombreux de ses confrères pour Windows : le fichier est tout d’abord chiffré à l’aide d’une clé AES-128 générée sur place et il reçoit l’extension .encrypted. Ensuite, cette clé de chiffrement est chiffrée à son tour selon un algorithme RSA. La clé RSA privée est conservée par les individus malintentionnés et elle est proposée (pour le déchiffrement) uniquement après le versement de la rançon.

A l’heure actuelle, les experts de la lutte contre les virus distinguent trois versions de Linux.Encoder : les version 1 et 2 ont été détectées par « Doctor Web », tandis que la version d’origine 0 remonte au mois d’août et elle avait été analysée par BitDefender. D’après « Doctor Web », le malware de blocage Linux.Encoder.2 se distingue de la première version par le fait qu’il utilise un autre générateur de nombres pseudo-aléatoires ainsi qu’une autre bibliothèque de chiffrement : OpenSSL au lieu de PolarSSL pour la version antérieure.

L’échantillon détecté plus tard par Malwarebytes se distingue par la présence d’un passage en russe dans la demande de rançon écrite en anglais. Les escrocs présentent leurs excuses aux habitants de la Russie et de l’ex-CEI et déclarent qu’ils sont prêts à déchiffrer les fichiers gratuitement. Il suffit pour cela d’envoyer un message à l’adresse email renseignée :

Linux-Erpresser

(source : Malwarebytes dans l’émission Help Net Security)

La seule méthode de propagation de Linux.Encoder observée pour l’instant utilise une vulnérabilité dans les plateformes de gestion de contenu WordPress et Magento. D’après les statistiques de « Doctor Web », au milieu du mois de novembre, le nouveau malware de blocage avait réussi à infecter plus de 2 900 postes Linux. Le nombre de victimes continue d’augmenter, comme l’appétit des escrocs. Au début, ils exigeaient une rançon de 50 dollars en bitcoins, mais désormais, la somme exigée peut atteindre 500 dollars, voire 999 dollars dans certains cas.

En guise de conclusion, il faut signaler que les experts de BitDefender ont découvert une erreur catastrophique pour les individus malintentionnés au niveau de la mise en œuvre de générateur de clés AES de Linux.Encoder : ces clés sont créées sur la base de l’horodatage au moment du chiffrement. Cette erreur a permis aux experts de rédiger un script de déchiffrement qui n’a pas besoin de la clé privée RSA. Cet outil, actualisé en fonction de l’évolution du malware, est proposé gratuitement aux victimes du malware. La société « Doctor Web » est également disposée à offrir une aide pour le déchiffrement, mais uniquement à ses clients.

Source: Net Security

Un ransomware Linux épargne les utilisateurs de l’ex-CEI

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception