Developpez.com

Le Club des Développeurs et IT Pro

Le rançongiciel Linux.Encoder.1 a maintenant infecté des milliers de sites web

Et continue de prendre de l'ampleur d'après Doctor Web

Le 2015-11-14 11:43:32, par Victor Vincent, Expert éminent sénior
D’après la société de sécurité Doctor Web, plus de 2000 sites web ont déjà été affectés par le rançongiciel Linux.Encoder.1 dont la première attaque a été découverte par la société de sécurité il y’a un peu plus d’une semaine. La société rapportait alors quelques dizaines de cas causés par le virus. Cependant, en l’espace de quelques jours seulement le rançongiciel aurait atteint plus d’un millier de sites web. L’estimation est basée sur le nombre de recherches concernant le fichier README_FOR_DECRYPT.txt qui est le fichier contenant les instructions permettant de décrypter les fichiers d’un ordinateur atteint moyennant le paiement d’un bitcoin.



D’après Doctor Web, Linux.Encoder.1 serait en train d’exploiter une vulnérabilité du CMS Magento pour infecter les serveurs Linux. Une autre remarque faite par la société de sécurité est le fait que les pirates n’auraient pas besoin de privilèges d’administrateur pour atteindre un serveur web pour lui transmettre le virus. Cela fait du virus une menace assez sérieuse pour les ressources sur internet du fait que plusieurs CMS présentent des vulnérabilités similaires et que certains webmasters n’appliquent pas toujours les dernières mises à jour des CMS a noté Doctor Web.

Source : Doctor Web

Et vous ?

Que pensez-vous de Linux.Encoder.1 ?

Voir aussi

la rubrique Sécurité (Cours, Tutoriels, FAQ, etc.)
  Discussion forum
13 commentaires
  • BufferBob
    Expert éminent
    oh ben c'est dommage, j'aurai bien vu cette news à la suite de la précédente, celle où on prend x10 en disant que ceux qui se font avoir sont des admins incompétents pour exécuter un binaire en root sans se poser de questions

    eh ben de mon point de vue, ça montre bien où en est le quidam, le dev moyen, avec la sécurité voyeeez.
    le 14/11/2015 à 14:04
  • MightyJean
    Membre habitué
    D'après ce que j'ai lu par ici (et si ça n'a pas été corrigé depuis), ce ransomware a une petite faille qui permettrait de récupérer ses données sans devoir payer : la clé AES est générée localement sur la machine de la victime en utilisant la fonction rand() de la libc, en utilisant le timestamp au moment du chiffrement comme graine. Or ce timestamp se retrouve facilement et si j'ai bien compris il est du coup possible de récupérer la clé AES sans utiliser la clé publique RSA vendue par ceux qui ont conçu cette saleté.
    'Fin bon après j'ai pas essayé et mes connaissances sur le sujet sont assez limitées mais ça semble avoir déjà été évoqué dans l'autre news dans un commentaire noyé dans la masse.
    le 15/11/2015 à 19:08
  • Gecko
    Membre éprouvé
    Pour ma part le plus gros problème reste l'accès aux correctifs.

    Quand on vois que certains éditeurs vendent leurs plugins 900$ et demandent un supplément pour avoir accès aux mises à jour il ne faut pas s'étonner d'avoir ce genre de désagréments...

    Sans compter le prix du maintien d'un site sous Magento qui demande beaucoup de travaille, et si vous rajoutez le prix de la licence entreprise à plus de 10.000$ bah... Vous devenez une victime potentielle, parce que sincèrement je connais très peu de boites qui acceptent de renouveler un contrat de plus de 25k$ minimum pour maintenir leur site à jour.

    Pour moi l'utilisation de CMS payants est de facto une erreur de débutant.
    le 15/11/2015 à 12:37
  • acx01b
    Membre averti
    Envoyé par MightyJean
    D'après ce que j'ai lu par ici (et si ça n'a pas été corrigé depuis), ce ransomware a une petite faille qui permettrait de récupérer ses données sans devoir payer : la clé AES est générée localement sur la machine de la victime en utilisant la fonction rand() de la libc, en utilisant le timestamp au moment du chiffrement comme graine. Or ce timestamp se retrouve facilement et si j'ai bien compris il est du coup possible de récupérer la clé AES sans utiliser la clé publique RSA vendue par ceux qui ont conçu cette saleté.
    'Fin bon après j'ai pas essayé et mes connaissances sur le sujet sont assez limitées mais ça semble avoir déjà été évoqué dans l'autre news dans un commentaire noyé dans la masse.
    oui http://labs.bitdefender.com/2015/11/...ncryption-key/
    mais vu les commentaires ça a l'air pas évident
    le 16/11/2015 à 3:05
  • Chauve souris
    Membre expert
    [MODE TROLL]
    Qui sait qui disait qu'il n'y avait pas de malware sous Linux et que les neuneux ne pouvaient être que windowiens ?
    [/MOBE TROLL]

    Propos juste destiné à augmenter ma collection de pouces rouges...
    le 16/11/2015 à 14:14
  • ddrmax
    Membre habitué
    déjà au courant de la semaine dernière j'avais émis l’hypothèse qui est énuméré dans cet article alors que les autres se contenaient limite de jeter des tomates pourries sur les sysadmins car de base je trouvait louche que seul le dossier www était impacté si le virus se lançais bien en root. Le coup du virus lancé en user-side répondait bien mieux a la problématique ainsi que pour la méthode d'infection qui était plus réaliste qu'une grossière erreur d'execuion d'un programme inconnu par un sysadmin
    le 17/11/2015 à 11:00
  • mhtrinh
    Membre habitué
    C'est moi ou ...
    - Dr Web a decouvert ce virus.
    - Dr Web fait viral cette news
    - Dr Web offre un service payant pour decrypter ce qui a ete encrypte ?

    En gros, ce "virus" c'est juste un faille de certains CMS ou quelqu'un arrive a injecter du code php sur ton site ? Une fois que tu peux injecter du code Php, ben ... tu fais ce que tu veux non ?

    Ca n'a rien avoir avec Linux ! Ou juste parce que la plupart des sites tournent sous Linux ? Le mot "Linux" est juste un pretexte pour buzzer !
    le 18/11/2015 à 21:17
  • ddrmax
    Membre habitué
    Envoyé par mhtrinh
    C'est moi ou ...
    - Dr Web a decouvert ce virus.
    - Dr Web fait viral cette news
    - Dr Web offre un service payant pour decrypter ce qui a ete encrypte ?

    En gros, ce "virus" c'est juste un faille de certains CMS ou quelqu'un arrive a injecter du code php sur ton site ? Une fois que tu peux injecter du code Php, ben ... tu fais ce que tu veux non ?

    Ca n'a rien avoir avec Linux ! Ou juste parce que la plupart des sites tournent sous Linux ? Le mot "Linux" est juste un pretexte pour buzzer !
    De toute façon ce virus n'a pas de système d'exploitation cible vu que tout système capable d'embarquer un serveur PHP est vulnérable si il contient un cms basé sur magento (on ma dit que joomla et d'autres cms ont une base magento donc potentiellement des cibles)
    Il est vrai que le virus aurait du s'appeler PHP.Encoder.1 au lieu de linux.Encoder.1
    le 19/11/2015 à 9:56
  • BufferBob
    Expert éminent
    Envoyé par ddrmax
    De toute façon ce virus n'a pas de système d'exploitation cible vu que tout système capable d'embarquer un serveur PHP est vulnérable si il contient un cms basé sur magento (on ma dit que joomla et d'autres cms ont une base magento donc potentiellement des cibles)
    Il est vrai que le virus aurait du s'appeler PHP.Encoder.1 au lieu de linux.Encoder.1
    on nous dit dans la description qu'il est écrit en C, donc déjà ça n'est plus spécifique PHP, d'autre part le binaire est forcément un ELF, donc spécifique Linux
    le 19/11/2015 à 14:30
  • nguegor
    Futur Membre du Club
    ça ne veut rien dire LINUX reste le maître(le chef) dans la sécurité système (une œuvre humaine n'est jamais parfaite)
    le 20/11/2015 à 18:30
  Poster une réponse