В начале ноября 2015 года компания «Доктор Веб» сообщила о появлении опасного троянца-шифровальщика для ОС семейства Linux, и эта публикация получила широкий резонанс в средствах массовой информации.
Сегодня наши специалисты могут поделиться некоторыми дополнительными подробностями об этом троянце, получившем наименование Linux.Encoder.1.
Основной целью злоумышленников, распространяющих троянца-шифровальщика Linux.Encoder.1, стали размещенные на серверах с установленной ОС Linux веб-сайты, работающие с использованием различных систем управления контентом (Content Management Systems, CMS) — в частности, WordPress, а также популярного программного комплекса для организации интернет-магазинов Magento CMS. Для атаки используется неустановленная пока уязвимость.
Получив несанкционированный доступ к сайту, киберпреступники размещали на нем файл error.php (в Magento CMS он помещался в служебную папку для хранения шаблонов оформления — /skin/). Этот файл играет роль шелл-скрипта и позволяет злоумышленникам выполнять иные несанкционированные действия — в частности, атакующие могут отдавать ему различные команды. С использованием данного шелл-скрипта они размещали на сервере в той же папке другой файл с именем 404.php, представляющий собой дроппер троянца-энкодера Linux.Encoder.1. Активизировавшись по команде злоумышленников (для этого им достаточно обратиться к PHP-файлу, набрав соответствующий адрес в адресной строке браузера), дроппер предположительно определяет архитектуру работающей на сервере операционной системы (32- или 64-разрядная версия Linux), извлекает из собственного тела соответствующий экземпляр шифровальщика и запускает его, после чего удаляется.
Поскольку энкодер Linux.Encoder.1 запускается с правами встроенного пользователя www-data (то есть с правами приложения, работающего от имени веб-сервера Apache), этих привилегий вполне достаточно, чтобы зашифровать файлы в папках, для которых у данного встроенного пользователя имеются права на запись, — иными словами, там, где хранятся файлы и компоненты «движка» веб-сайта. Если по каким-либо причинам у шифровальщика окажутся более высокие привилегии, он не ограничится одной лишь папкой веб-сервера. После этого троянец сохраняет на диске сервера файл с именем README_FOR_DECRYPT.txt, содержащий инструкции по расшифровке файлов и требования злоумышленников. Судя по сведениям, которые можно получить с использованием соответствующего запроса в поисковой системе Google, на 12 ноября 2015 года в Интернете насчитывается порядка 2000 веб-сайтов, предположительно атакованных шифровальщиком Linux.Encoder.1.
Проанализировав данную схему атаки, можно прийти к выводу, что, во-первых, вопреки расхожему мнению, злоумышленникам не требуется получать права root для успешной компрометации веб-серверов под управлением Linux и шифрования файлов, а во-вторых, троянец представляет серьезную опасность для владельцев интернет-ресурсов, особенно с учетом того, что многие популярные CMS до сих пор имеют незакрытые уязвимости, а некоторые администраторы сайтов либо игнорируют необходимость своевременного обновления работающего на сервере ПО, либо используют устаревшие версии систем управления контентом.
В силу того, что создатели Linux.Encoder.1 допустили в коде шифровальщика ряд существенных ошибок, данные, поврежденные этим энкодером, поддаются расшифровке. Если ваши файлы стали недоступны в результате проникновения на сайт Linux.Encoder.1, выполните следующие действия:
- обратитесь с соответствующим заявлением в полицию;
- ни в коем случае не пытайтесь каким-либо образом изменить содержимое папок с зашифрованными файлами;
- не удаляйте никакие файлы на сервере;
- не пытайтесь восстановить зашифрованные файлы самостоятельно;
- обратитесь в службу технической поддержки компании «Доктор Веб» (эта услуга бесплатна для пользователей коммерческих лицензий Dr.Web);
- к тикету приложите любой зашифрованный троянцем файл;
- дождитесь ответа специалиста службы технической поддержки; в связи с большим количеством запросов это может занять некоторое время.