Un rançongiciel Linux s'attaque aux webmasters

En chiffrant les données des répertoires contenant les pages web

Le 2015-11-07 22:33:51, par Victor Vincent, Expert éminent sénior

Un nouveau rançongiciel s’attaque aux machines Linux et cible en particulier les dossiers contenant les pages web. Le procédé du logiciel malveillant appelé Linux.Encoder est simple. Le rançongiciel crypte les répertoires de MySQL, Apache ainsi que le répertoire home/root. Le système demande alors de payer un seul bitcoin pour déverrouiller les fichiers.

Une fois que la rançon est payée, le système reçoit une instruction lui faisant parcourir les répertoires pour déchiffrer leurs contenus. Pour s’exécuter, la ransomware a besoin des privilèges d’administrateur et éventuellement d'une autorisation de la part d’un administrateur système pour qu’un tel programme puisse s’exécuter sans restriction. Selon le site drweb.com, une fois que le rançongiciel est lancé avec les privilèges d’administrateur, le logiciel télécharge le contenu des dossiers ciblés et crée un ficher contenant le lien vers une clé RSA publique. Le rançongiciel commence alors à supprimer les fichiers originaux et la clé RSA est utilisée pour générer une clé AES qui sera utilisée pour chiffrer les fichiers sur l’ordinateur infecté.

Source : Dr.WEB

Et vous ?

Que pensez-vous de ce rançongiciel ?

Voir aussi

le forum Sécurité

la rubrique Systèmes (Cours, Tutoriels, FAQ, etc.)

Discussion forum

38 commentaires

earhater
Membre éprouvé

Ouais enfin pour le coup c'est vraiment l'art de télécharger un virus et de l’exécuter en tant qu'administrateur ... C'est comme avoir une icône VIRUS et cliquer dessus.

le 08/11/2015 à 8:11
Squisqui
En attente de confirmation mail

Envoyé par herzleid

Qui télécharge un binaire, lui donne des droits d'exécution et l'exécute en tant que root, sans se poser la question de la légitimité de ses actions ? Dans ces conditions autant qu'il retourne sous windows ;-)

A la limite, c'est bien fait pour celui qui l'exécute ! Je reste sous mon linux, je suis bien moins embeter que les copains sous windows ;-)

Et le tout sur une machine en prod' sans back up. Arrivé à ce point, ceux qui se sont fait avoir devrait simplement abandonner l'administration système.

le 08/11/2015 à 10:08
herzleid
Membre confirmé

Envoyé par BufferBob

bon, c'est pas très constructif mais je ne peux m'empêcher de glousser en pensant aux innombrables posts de connaisseurs que j'ai pu lire "Windows, les antivirus, antimalwares etc... moi j'ai mon Linux "

Le problème est là, c'est pas très constructif.

Combien de machines touchées (dans le parc linux) ? Car si c'est 10, je vois pas ou est le problème.

Qui télécharge un binaire, lui donne des droits d'exécution et l'exécute en tant que root, sans se poser la question de la légitimité de ses actions ? Dans ces conditions autant qu'il retourne sous windows ;-)

A la limite, c'est bien fait pour celui qui l'exécute ! Je reste sous mon linux, je suis bien moins embeter que les copains sous windows ;-)

le 08/11/2015 à 8:27
dclicdepannage
Futur Membre du Club

Attention a ne pas télécharger le rançongiciel , ne pas lui donné les droit administrateurs et ne pas l’exécuter. Attention les virus arrive sur linux

le 08/11/2015 à 10:39
Max Lothaire
Membre confirmé

Comment ce programme c'est retrouvé sur les serveurs des victimes ?

le 08/11/2015 à 12:47
Envoyé par Kdence

Arrêtez de croire que vous êtes protéger de tout sur linux et mac.

Bah déjà, çà ne protège pas des trolls ni des fautes de français...

le 08/11/2015 à 23:42
mikedafunk
Membre à l'essai

@BufferBob : Ici ce n'est pas un virus mais un rançongiciel "Belge"
Après la connerie dépasse les frontières des OS aussi

le 08/11/2015 à 12:37
Aiekick
Membre extrêmement actif

a lire tous ces post je me dit que les utilisateurs linux pensent que la seule faille imaginable sur un systeme linux soit l'homme.

Autant sur windows, ya des trojan, des backdoor, des failles zero days a tout va mais linux ca viens forcement de l'homme.

les gars réveillez vous, une élévation de privilège sur linux peux ce faire autrement que manuellement...

ce reviens a ce que je disais plus haut, pas l'habitude de faire la guerre, donc sous armé. les illusions on remplacé le bon sens

le 13/11/2015 à 20:14
mikedafunk
Membre à l'essai

Eh ben voilà, le problème venait d'un CMS payant, et le rançongiciel n'avait pas besoin d'avoir les droits root pour être exécuté : http://www.developpez.com/actu/92562...es-Doctor-Web/

le 15/11/2015 à 13:45
BufferBob
Expert éminent

Envoyé par Squisqui

Ce n'est pas le malware qui est intéressant. C'est son mode d'infection qui fait sourire. (...) Là nous sommes en présence d'un malware qui demande à l'administrateur de l'installer lui-même.

Envoyé par niuxe

Exécuter un bin en tant que root sans connaître la provenance, chapeau bas à cet utilisateur....

mais où est-ce que vous avez lu qu'il fallait une intervention manuelle de la part de l'admin de la machine pour que le programme fasse sa sauce ?

tout ce qu'on nous dit c'est que le programme "nécessite les droits d'admin pour s'exécuter", par ailleurs l'article originel semble dire que "il est possible que le machin exploite une vuln critique sur Magento"
ça ne veut pas dire "l'admin doit être derrière pour lancer le malware", ça veut dire "on en sait rien, on a repéré un nouveau malware, on pense qu'il déboule sur le système via un exploit sur Magento, et pour l'escalade de privilèges on ne sait pas", on parle ici d'un encodeur, un malware local, pas de son mode de propagation justement

sérieusement, le gars s'est cassé l'oignon à coder un encodeur de fichiers en C, à trifouiller des clés asymétriques et de l'AES, pour à l'arrivée simplement faire du SE sur l'admin ?? c'est prendre les gars qui codent ces malwares pour plus bêtes qu'ils sont

Envoyé par Squisqui

les skiddies, faut tous les brûler

tu m'étonnes, heureusement sur ce forum on est entre connaisseurs.

ps: du coup, les admins Magento, ça rentre pas dans la catégorie "admins professionnels" j'imagine

le 13/11/2015 à 2:44

Poster une réponse