Cabecera-v2-web.jpg

Más de 3.000 servidores web afectados por el primer ransomware para Linux


La semana pasada hablamos de Linux.Encoder.1, el primer ransomware para Linux que afectaba principalmente a servidores web que ejecutaban el sistema operativo libre, Linux, sistema mayoritario cuando hablamos de servidores. Este software malicioso utiliza un algoritmo AES-128 para cifrar los archivos y vuelve a cifrar la clave con una nueva clave RSA para asegurarse de que esta primera no se puede crackear por fuerza bruta para recuperar los datos.

Como hemos dicho, este ransomware se centra principalmente en infectar todo tipo de servidores web que alojan en sí­ mismos páginas web o que son utilizados para el desarrollo web. En menos de una semana, este malware ya habí­aa infectado y secuestrado más de 2000 sitios web en todo el mundo, actualmente más de 3000 ví­ctimas en menos de dos semanas, dejando los datos secuestrados y a la espera de recibir el pago por parte de los administradores para poder recuperar sus proyectos.

Una simple búsqueda en Google realizada antes del fin de semana nos devuelve los más de 2.000 sitios web infectados que cuentan con el fichero de información para descifrar los datos, que se llama "README_FOR_DECRYTP.txt", y que pide el pago de un Bitcoin a cambio de la clave. A dí­a de hoy, el número de servidores y webs afectadas por este ransomware supera las 3.000.


Victimas-de-Linux-Encoder-el-ransomware-para-Linux.jpg


Las empresas de seguridad están seguras de que este ransomware va a seguir creciendo en número y peligrosidad, y es posible que visto el éxito del mismo no tardemos en ver nuevas variantes cada vez más peligrosas. La mejor forma de protegerse de él es una configuración adecuada de los permisos de Linux, de manera que si el malware nos infecta no tenga permiso de escritura en el directorio de la web, salvo que lo ejecutemos como root o como un usuario que sí­ tenga dichos permisos.

Si por cualquier motivo terminamos en manos de Linux.Encoder.1, antes de pagar por recuperar los datos recordamos que debido a una debilidad en la generación de las claves es posible volver a generar la clave manualmente.


El ransomware Linux.Encoder.1 tiene una vulnerabilidad que permite volver a generar la clave para descifrar los datos sin pagar


El malware Linux.Encoder.1 está escrito mayoritariamente en C, por lo que utiliza muchas de sus funciones. Una de ellas es rand(), una función utilizada para hallar un número aleatorio utilizando la hora del sistema como base.

Si analizamos los cambios en el sistema de archivos es posible saber con certeza a qué hora exacta se produjo la infección y se generó la clave, por lo que cualquier usuario podrí­a volver a generarla a mano para comenzar el proceso de recuperación de los archivos.


Fuente: redeszone.net


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11