La società di sicurezza russa Doctor Web ha identificato un nuovo malware per sistemi Linux, un trojan con caratteristiche da ransomware pensato per “prendere in ostaggio”, tramite l’uso di algoritmi crittografici, i file tradizionalmente presente sulle installazioni di software per server e siti Web.
Linux.Encoder.1, questo il nome del nuovo ransomware, riesce a penetrare su un’installazione remota di Linux tramite meccanismi tutt’ora ignoti – forse attraverso una connessione SSH insicura con credenziali di accesso non sufficientemente robuste.
Una volta arrivato sul sistema, il trojan avvierebbe la scansioni delle cartelle tradizionalmente associate con i server HTTP Apache e Nginx, i database MySQL e altri software utilizzabili in ambiente server, criptando i file con estensioni Web (.js, .xml, .php, .html) e di contenuti (.rar, .7z, .xls, .pdf, .mov, .png) e salvando una “nota di riscatto” in formato testuale nella directory in cui essi sono contenuti.
Gli ignoti cyber-criminali autori della minaccia richiederebbero infatti il pagamento di un 1 bitcoin tramite Tor per la decodifica dei file, ma il meccanismo stratificato usato per gestire le operazioni crittografiche (una chiave AES asimmetrica protetta da una chiave RSA simmetrica) non funzionerebbe come dovrebbe e Doctor Web avrebbe già sviluppato un tool in grado di ripulire i server infetti senza bisogno di dover sborsare un solo centesimo.
Via | Doctor Web