Троян-шифровальщик Linux.Encoder.1 атаковал порядка 2 тыс. сайтов

Компания «Доктор Веб» опубликовала дополнительные подробности о Linux.Encoder.1, трояне-шифровальщике для ОС семейства Linux, о появлении которого компания сообщала в начале ноября 2015 г. Как говорится в заявлении «Доктор Веб», поступившем в редакцию CNews, основной целью злоумышленников, распространяющих трояна Linux.Encoder.1, стали размещенные на серверах с установленной ОС Linux веб-сайты, работающие с использованием различных систем управления контентом (Content Management Systems, CMS), в частности, WordPress, а также программного комплекса для организации интернет-магазинов Magento CMS. Для атаки используется неустановленная пока уязвимость. Получив несанкционированный доступ к сайту, киберпреступники размещали на нем файл error.php (в Magento CMS он помещался в служебную папку для хранения шаблонов оформления — /skin/). Этот файл играет роль шелл-скрипта и позволяет злоумышленникам выполнять иные несанкционированные действия — в частности, атакующие могут отдавать ему различные команды. С использованием данного шелл-скрипта они размещали на сервере в той же папке другой файл с именем 404.php, представляющий собой дроппер трояна-энкодера Linux.Encoder.1. Активизировавшись по команде злоумышленников (для этого им достаточно обратиться к PHP-файлу, набрав соответствующий адрес в адресной строке браузера), дроппер предположительно определяет архитектуру работающей на сервере операционной системы (32- или 64-разрядная версия Linux), извлекает из собственного тела соответствующий экземпляр шифровальщика и запускает его, после чего удаляется, пояснили в «Доктор Веб». Поскольку энкодер Linux.Encoder.1 запускается с правами встроенного пользователя www-data (то есть с правами приложения, работающего от имени веб-сервера Apache), этих привилегий вполне достаточно, чтобы зашифровать файлы в папках, для которых у данного встроенного пользователя имеются права на запись — иными словами, там, где хранятся файлы и компоненты «движка» веб-сайта, подчеркнули в компании. Если по каким-либо причинам у шифровальщика окажутся более высокие привилегии, он не ограничится одной лишь папкой веб-сервера. После этого троян сохраняет на диске сервера файл с именем README_FOR_DECRYPT.txt, содержащий инструкции по расшифровке файлов и требования злоумышленников. «Судя по сведениям, которые можно получить с использованием соответствующего запроса в поисковой системе Google, на 12 ноября 2015 года в интернете насчитывается порядка 2 тыс. веб-сайтов, предположительно атакованных шифровальщиком Linux.Encoder.1», — указали в «Доктор Веб». Проанализировав данную схему атаки, специалисты компании пришли к выводу о том, что, во-первых, вопреки расхожему мнению, злоумышленникам не требуется получать права root для успешной компрометации веб-серверов под управлением Linux и шифрования файлов, а во-вторых, троян представляет серьезную опасность для владельцев интернет-ресурсов, особенно с учетом того, что многие популярные CMS до сих пор имеют незакрытые уязвимости, а некоторые администраторы сайтов либо игнорируют необходимость своевременного обновления работающего на сервере ПО, либо используют устаревшие версии систем управления контентом. В силу того, что создатели Linux.Encoder.1 допустили в коде шифровальщика ряд существенных ошибок, данные, поврежденные этим энкодером, поддаются расшифровке, отметили в компании. В случае, если файлы стали недоступны в результате проникновения на сайт Linux.Encoder.1, в «Доктор Веб» советуют: обратиться с соответствующим заявлением в полицию; ни в коем случае не пытаться каким-либо образом изменить содержимое папок с зашифрованными файлами; не удалять никакие файлы на сервере; не пытаться восстановить зашифрованные файлы самостоятельно; обратиться в службу технической поддержки компании «Доктор Веб» (эта услуга бесплатна для пользователей коммерческих лицензий Dr.Web), при этом к тикету приложить любой зашифрованный трояном файл. Несмотря на то, что Linux.Encoder.1 в силу своих архитектурных особенностей не в состоянии необратимо повредить или уничтожить всю размещенную на сервере информацию, сохраняется вероятность того, что злоумышленники со временем могут модифицировать используемые ими алгоритмы шифрования, устранив все «слабые места». Поэтому серьезная опасность потерять важные файлы сохраняется, по мнению специалистов «Доктор Веб», даже для пользователей такой относительно безопасной ОС, как Linux, и, в первую очередь — для администраторов веб-сайтов, работающих под управлением популярных систем управления контентом. Сигнатура Linux.Encoder.1 добавлена в базы «Антивируса Dr.Web для Linux». Ссылка на источник