Криптацията на файлове срещу откуп става все по популярен метод сред хакерите за изкарване на лесни пари. Новата версия на Linux Encoder (Ransomware) поразява хиляди уязвими сървъри в целия свят, като ограничава достъпа до различни файлове като ги криптира, а след това операторите на злонамерената атака искат откуп, за да възстановят достъпа до тях. На какъв принцип работи този вид атака и има ли начин да спасим файловете си без да платим за това, ще научим в следващите редове.

Как работи Ransomware

Ransomware е злонамерен софтуер, който ограничава достъпа до инфектирани машини по някакъв начин, намирайки уязвимо място във Вашата система. Точно кои файлове ще засегне и колко ще са на брой зависи от формата на Ransomware атаката и състоянието на системата. Например, ако има пропуск и се достъпи с root права, има възможност за криптиране на абсолютно цялата налична информация.

Пример за криптиране

Crypto-ransomware използват разнообразни кодиращи алгоритми, а бързината и ефективността при криптиране на голям обем от данни се дължи на Advanced Encryption Standard (AES), алгоритъм използващ симетричен ключ (еднакъв за кодиране и декодиране). Допълвайки симетричния ключ с асиметричен такъв (RSA), атакуващите предотвратяват залавянето на кодиращия ключ, тъй като той се изпраща от контролния им сървър. С помощта на RSA се генерират два допълнителни ключа – публичен, който се използва за кодиране и частен, за декодиране на файловете, които се намират на хакерския сървър и само частният ключ се изпраща на засегнатия потребител и то след плащане на исканата сума за откуп и така да могат да си разкодират съобщенията. Публичният ключ се използва за шифроване на малка, но много важна част от информацията: кодиращият ключ използван от AES алгоритъма, генериран локално. RSA кодираният AES ключ е заложен в началото на всеки криптиращ файл, заедно с оригиналните файлови разширения и инициализиращият вектор (IV), използвани от AES алгоритъма.

[caption id="attachment_1009979" align="aligncenter" width="923"][](https://cdn.icnhost.net/s3/icn-website/images/uploads/2016/01/payment.png) Пример за съобщение с информация за криптирани файлове и последващи стъпки.[/caption]

Има ли решение

Има, разбира се и това е Linux.Encoder Decryption Tool. Благодарение на пропуск в програмния код на една от версиите на зловредния софтуер, разработчици от Bitdefender са създали безплатен инструмент за възстановяване на засегнатите файлове, който е достъпен за всички засегнати от атаката. Инструмента спира инициализиращия вектор и заключващия ключ, анализирайки файловете, след това изпълнява декриптацията, последван от разрешено поправяне. Ако можете да boot-нете Вашата операционна система, задължително свалете скрипта и го стартирайте под root потребител.

Вижте стъпка по стъпка как да върнете правата върху информацията си:

И така, ако сте решили да възстановявате файловете си, е най-добре това да се извърши на виртуална машина (тестови сървър), на която да синхронизирате заключените файлове и да опитате декриптацията им.

- wget

 <http://labs.bitdefender.com/wp-content/plugins/download-monitor/download.php?id=encoder_3_decrypter.zip>

 - unzip download.php\?id\=encoder_3_decrypter.zip

 - python encoder_3_decrypter.py public_html/.htaccess.encrypted

 Done! Remember to check the decryption output before destroying the

 encrypted files and to adjust the permissions for the decrypted files

 Also, because of a bug in the encryption, the output files might contain

 **16 random bytes**(�) at the end

 - cat public_html/.htaccess

 # BEGIN WordPress

 <IfModule mod_rewrite.c>

 RewriteEngine On

 RewriteBase /

 RewriteRule ^index\.php$ - [L]

 RewriteCond %{REQUEST_FILENAME} !-f

 RewriteCond %{REQUEST_FILENAME} !-d

 RewriteRule . /index.php [L]

 </IfModule>

# END WordPress

 &z����

 �i�\�M$k

Старият, криптиран файл:

cat public_html/.htaccess.encrypted

 �xviZ��hy�� K�?@B�CAq�:�N�?��uEs�&M��+m���#%��

 �h6�rR�a��-]C;�������cY�)

 a]�^�拟۾��uU���jHZ��Pf���I�8�)�pr#f�Ê��2k��E@�˵{�

И файловете Ви са спасени. А нашите Friendly Geeks препоръчват връщането на бекъп-а като по-лесен и сигурен вариант. Както знаете, ние предоставяме на нашите клиенти 30 дневен бекъп, гарантирайки им сигурно възстановяване на файловете до 30 дена назад.

Обновяването на CMS-a е едно от задължителните неща, които всеки потребител трябва да направи, за да е сигурен, че злонамерените хакове ще го подминат.

Етикети: #iv #advanced-encryption-standard #aes-key #файлове-за-откуп #linux-encoder #linux-decryption-tool #hakeri #rsa #ransomware #bitdefender #linux-сървъри #public-key #private-key