Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un rançongiciel Linux s'attaque aux webmasters
En chiffrant les données des répertoires contenant les pages web

Le , par Victor Vincent

0PARTAGES

2  1 
Un nouveau rançongiciel s’attaque aux machines Linux et cible en particulier les dossiers contenant les pages web. Le procédé du logiciel malveillant appelé Linux.Encoder est simple. Le rançongiciel crypte les répertoires de MySQL, Apache ainsi que le répertoire home/root. Le système demande alors de payer un seul bitcoin pour déverrouiller les fichiers.


Une fois que la rançon est payée, le système reçoit une instruction lui faisant parcourir les répertoires pour déchiffrer leurs contenus. Pour s’exécuter, la ransomware a besoin des privilèges d’administrateur et éventuellement d'une autorisation de la part d’un administrateur système pour qu’un tel programme puisse s’exécuter sans restriction. Selon le site drweb.com, une fois que le rançongiciel est lancé avec les privilèges d’administrateur, le logiciel télécharge le contenu des dossiers ciblés et crée un ficher contenant le lien vers une clé RSA publique. Le rançongiciel commence alors à supprimer les fichiers originaux et la clé RSA est utilisée pour générer une clé AES qui sera utilisée pour chiffrer les fichiers sur l’ordinateur infecté.

Source : Dr.WEB

Et vous ?

Que pensez-vous de ce rançongiciel ?

Voir aussi

le forum Sécurité

la rubrique Systèmes (Cours, Tutoriels, FAQ, etc.)

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de earhater
Membre éclairé https://www.developpez.com
Le 08/11/2015 à 8:11
Ouais enfin pour le coup c'est vraiment l'art de télécharger un virus et de l’exécuter en tant qu'administrateur ... C'est comme avoir une icône VIRUS et cliquer dessus.
10  2 
Avatar de Squisqui
En attente de confirmation mail https://www.developpez.com
Le 08/11/2015 à 10:08
Citation Envoyé par herzleid Voir le message
Qui télécharge un binaire, lui donne des droits d'exécution et l'exécute en tant que root, sans se poser la question de la légitimité de ses actions ? Dans ces conditions autant qu'il retourne sous windows ;-)

A la limite, c'est bien fait pour celui qui l'exécute ! Je reste sous mon linux, je suis bien moins embeter que les copains sous windows ;-)
Et le tout sur une machine en prod' sans back up. Arrivé à ce point, ceux qui se sont fait avoir devrait simplement abandonner l'administration système.
9  1 
Avatar de herzleid
Membre confirmé https://www.developpez.com
Le 08/11/2015 à 8:27
Citation Envoyé par BufferBob Voir le message
bon, c'est pas très constructif mais je ne peux m'empêcher de glousser en pensant aux innombrables posts de connaisseurs que j'ai pu lire "Windows, les antivirus, antimalwares etc... moi j'ai mon Linux "
Le problème est là, c'est pas très constructif.

Combien de machines touchées (dans le parc linux) ? Car si c'est 10, je vois pas ou est le problème.

Qui télécharge un binaire, lui donne des droits d'exécution et l'exécute en tant que root, sans se poser la question de la légitimité de ses actions ? Dans ces conditions autant qu'il retourne sous windows ;-)

A la limite, c'est bien fait pour celui qui l'exécute ! Je reste sous mon linux, je suis bien moins embeter que les copains sous windows ;-)
8  3 
Avatar de dclicdepannage
Futur Membre du Club https://www.developpez.com
Le 08/11/2015 à 10:39
Attention a ne pas télécharger le rançongiciel , ne pas lui donné les droit administrateurs et ne pas l’exécuter. Attention les virus arrive sur linux
7  3 
Avatar de Max Lothaire
Membre confirmé https://www.developpez.com
Le 08/11/2015 à 12:47
Comment ce programme c'est retrouvé sur les serveurs des victimes ?
4  0 
Avatar de
https://www.developpez.com
Le 08/11/2015 à 23:42
Citation Envoyé par Kdence Voir le message
Arrêtez de croire que vous êtes protéger de tout sur linux et mac.
Bah déjà, çà ne protège pas des trolls ni des fautes de français...
4  0 
Avatar de mikedafunk
Membre à l'essai https://www.developpez.com
Le 08/11/2015 à 12:37
@BufferBob : Ici ce n'est pas un virus mais un rançongiciel "Belge"
Après la connerie dépasse les frontières des OS aussi
3  0 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 13/11/2015 à 20:14
a lire tous ces post je me dit que les utilisateurs linux pensent que la seule faille imaginable sur un systeme linux soit l'homme.

Autant sur windows, ya des trojan, des backdoor, des failles zero days a tout va mais linux ca viens forcement de l'homme.

les gars réveillez vous, une élévation de privilège sur linux peux ce faire autrement que manuellement...

ce reviens a ce que je disais plus haut, pas l'habitude de faire la guerre, donc sous armé. les illusions on remplacé le bon sens
4  1 
Avatar de mikedafunk
Membre à l'essai https://www.developpez.com
Le 15/11/2015 à 13:45
Eh ben voilà, le problème venait d'un CMS payant, et le rançongiciel n'avait pas besoin d'avoir les droits root pour être exécuté : http://www.developpez.com/actu/92562...es-Doctor-Web/
3  0 
Avatar de BufferBob
Expert éminent https://www.developpez.com
Le 13/11/2015 à 2:44
Citation Envoyé par Squisqui Voir le message
Ce n'est pas le malware qui est intéressant. C'est son mode d'infection qui fait sourire. (...) Là nous sommes en présence d'un malware qui demande à l'administrateur de l'installer lui-même.
Citation Envoyé par niuxe Voir le message
Exécuter un bin en tant que root sans connaître la provenance, chapeau bas à cet utilisateur....
mais où est-ce que vous avez lu qu'il fallait une intervention manuelle de la part de l'admin de la machine pour que le programme fasse sa sauce ?

tout ce qu'on nous dit c'est que le programme "nécessite les droits d'admin pour s'exécuter", par ailleurs l'article originel semble dire que "il est possible que le machin exploite une vuln critique sur Magento"
ça ne veut pas dire "l'admin doit être derrière pour lancer le malware", ça veut dire "on en sait rien, on a repéré un nouveau malware, on pense qu'il déboule sur le système via un exploit sur Magento, et pour l'escalade de privilèges on ne sait pas", on parle ici d'un encodeur, un malware local, pas de son mode de propagation justement

sérieusement, le gars s'est cassé l'oignon à coder un encodeur de fichiers en C, à trifouiller des clés asymétriques et de l'AES, pour à l'arrivée simplement faire du SE sur l'admin ?? c'est prendre les gars qui codent ces malwares pour plus bêtes qu'ils sont

Citation Envoyé par Squisqui Voir le message
les skiddies, faut tous les brûler
tu m'étonnes, heureusement sur ce forum on est entre connaisseurs.

ps: du coup, les admins Magento, ça rentre pas dans la catégorie "admins professionnels" j'imagine
2  0