Криптацията на файлове срещу откуп става все по популярен метод сред хакерите за изкарване на лесни пари. Новата версия на Linux Encoder (Ransomware) поразява хиляди уязвими сървъри в целия свят, като ограничава достъпа до различни файлове като ги криптира, а след това операторите на злонамерената атака искат откуп, за да възстановят достъпа до тях. На какъв принцип работи този вид атака и има ли начин да спасим файловете си без да платим за това, ще научим в следващите редове.
Как работи Ransomware
Ransomware е злонамерен софтуер, който ограничава достъпа до инфектирани машини по някакъв начин, намирайки уязвимо място във Вашата система. Точно кои файлове ще засегне и колко ще са на брой зависи от формата на Ransomware атаката и състоянието на системата. Например, ако има пропуск и се достъпи с root права, има възможност за криптиране на абсолютно цялата налична информация.
Пример за криптиране
Crypto-ransomware използват разнообразни кодиращи алгоритми, а бързината и ефективността при криптиране на голям обем от данни се дължи на Advanced Encryption Standard (AES), алгоритъм използващ симетричен ключ (еднакъв за кодиране и декодиране). Допълвайки симетричния ключ с асиметричен такъв (RSA), атакуващите предотвратяват залавянето на кодиращия ключ, тъй като той се изпраща от контролния им сървър. С помощта на RSA се генерират два допълнителни ключа – публичен, който се използва за кодиране и частен, за декодиране на файловете, които се намират на хакерския сървър и само частният ключ се изпраща на засегнатия потребител и то след плащане на исканата сума за откуп и така да могат да си разкодират съобщенията. Публичният ключ се използва за шифроване на малка, но много важна част от информацията: кодиращият ключ използван от AES алгоритъма, генериран локално. RSA кодираният AES ключ е заложен в началото на всеки криптиращ файл, заедно с оригиналните файлови разширения и инициализиращият вектор (IV), използвани от AES алгоритъма.
[caption id="attachment_1009979" align="aligncenter" width="923"][](https://cdn.icnhost.net/s3/icn-website/images/uploads/2016/01/payment.png) Пример за съобщение с информация за криптирани файлове и последващи стъпки.[/caption]
Има ли решение
Има, разбира се и това е Linux.Encoder Decryption Tool. Благодарение на пропуск в програмния код на една от версиите на зловредния софтуер, разработчици от Bitdefender са създали безплатен инструмент за възстановяване на засегнатите файлове, който е достъпен за всички засегнати от атаката. Инструмента спира инициализиращия вектор и заключващия ключ, анализирайки файловете, след това изпълнява декриптацията, последван от разрешено поправяне. Ако можете да boot-нете Вашата операционна система, задължително свалете скрипта и го стартирайте под root потребител.
Вижте стъпка по стъпка как да върнете правата върху информацията си:
И така, ако сте решили да възстановявате файловете си, е най-добре това да се извърши на виртуална машина (тестови сървър), на която да синхронизирате заключените файлове и да опитате декриптацията им.
- wget
<http://labs.bitdefender.com/wp-content/plugins/download-monitor/download.php?id=encoder_3_decrypter.zip>
- unzip download.php\?id\=encoder_3_decrypter.zip
- python encoder_3_decrypter.py public_html/.htaccess.encrypted
Done! Remember to check the decryption output before destroying the
encrypted files and to adjust the permissions for the decrypted files
Also, because of a bug in the encryption, the output files might contain
**16 random bytes**(�) at the end
- cat public_html/.htaccess
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
&z����
�i�\�M$kСтарият, криптиран файл:
cat public_html/.htaccess.encrypted
�xviZ��hy�� K�?@B�CAq�:�N�?��uEs�&M��+m���#%��
�h6�rR�a��-]C;�������cY�)
a]�^�拟۾��uU���jHZ��Pf���I�8�)�pr#f�Ê��2k��E@�˵{�И файловете Ви са спасени. А нашите Friendly Geeks препоръчват връщането на бекъп-а като по-лесен и сигурен вариант. Както знаете, ние предоставяме на нашите клиенти 30 дневен бекъп, гарантирайки им сигурно възстановяване на файловете до 30 дена назад.
Обновяването на CMS-a е едно от задължителните неща, които всеки потребител трябва да направи, за да е сигурен, че злонамерените хакове ще го подминат.
Етикети: #iv #advanced-encryption-standard #aes-key #файлове-за-откуп #linux-encoder #linux-decryption-tool #hakeri #rsa #ransomware #bitdefender #linux-сървъри #public-key #private-key