Un ransomware Linux épargne les utilisateurs de l’ex-CEI

Des chercheurs de chez Malwarebytes ont identifié une nouvelle version du premier malware de chiffrement de l’histoire pour GNU/Linux. Ce petit nouveau présente ses excuses aux habitants des pays ayant appartenu à la CEI et se déclare prêt à déchiffrer les fichiers gratuitement.

Pour rappel, ce malware baptisé Linux.Encoder par Doctor Web (les logiciels de Kaspersky Lab le détectent sous le nom Ransom.Linux.Cryptor et Trojan-Ransom.FreeBSD.Cryptor), est apparu au début du mois de novembre sur les radars des éditeurs de logiciels antivirus. Il s’exécute avec des autorisations d’administrateur et procède à un chiffrement, à l’instar de nombreux de ses confrères pour Windows : le fichier est tout d’abord chiffré à l’aide d’une clé AES-128 générée sur place et il reçoit l’extension .encrypted. Ensuite, cette clé de chiffrement est chiffrée à son tour selon un algorithme RSA. La clé RSA privée est conservée par les individus malintentionnés et elle est proposée (pour le déchiffrement) uniquement après le versement de la rançon.

A l’heure actuelle, les experts de la lutte contre les virus distinguent trois versions de Linux.Encoder : les version 1 et 2 ont été détectées par « Doctor Web », tandis que la version d’origine 0 remonte au mois d’août et elle avait été analysée par BitDefender. D’après « Doctor Web », le malware de blocage Linux.Encoder.2 se distingue de la première version par le fait qu’il utilise un autre générateur de nombres pseudo-aléatoires ainsi qu’une autre bibliothèque de chiffrement : OpenSSL au lieu de PolarSSL pour la version antérieure.

L’échantillon détecté plus tard par Malwarebytes se distingue par la présence d’un passage en russe dans la demande de rançon écrite en anglais. Les escrocs présentent leurs excuses aux habitants de la Russie et de l’ex-CEI et déclarent qu’ils sont prêts à déchiffrer les fichiers gratuitement. Il suffit pour cela d’envoyer un message à l’adresse email renseignée :

Linux-Erpresser

(source : Malwarebytes dans l’émission Help Net Security)

La seule méthode de propagation de Linux.Encoder observée pour l’instant utilise une vulnérabilité dans les plateformes de gestion de contenu WordPress et Magento. D’après les statistiques de « Doctor Web », au milieu du mois de novembre, le nouveau malware de blocage avait réussi à infecter plus de 2 900 postes Linux. Le nombre de victimes continue d’augmenter, comme l’appétit des escrocs. Au début, ils exigeaient une rançon de 50 dollars en bitcoins, mais désormais, la somme exigée peut atteindre 500 dollars, voire 999 dollars dans certains cas.

En guise de conclusion, il faut signaler que les experts de BitDefender ont découvert une erreur catastrophique pour les individus malintentionnés au niveau de la mise en œuvre de générateur de clés AES de Linux.Encoder : ces clés sont créées sur la base de l’horodatage au moment du chiffrement. Cette erreur a permis aux experts de rédiger un script de déchiffrement qui n’a pas besoin de la clé privée RSA. Cet outil, actualisé en fonction de l’évolution du malware, est proposé gratuitement aux victimes du malware. La société « Doctor Web » est également disposée à offrir une aide pour le déchiffrement, mais uniquement à ses clients.

Source: Net Security

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *