WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Mã độc tống tiền Linux nhắm mục tiêu vào các máy chủ
Trong vài năm qua, Ransomware (mã độc tống tiền) đã trở thành một trong những mã độc tai hại cho phép tin tặc mã hóa tất cả các nội dung trên ổ đĩa của nạn nhân hoặc/và máy chủ và đòi tiền chuộc (thường trả bằng Bitcoin) để đổi lấy khóa giải mã.
Từ trước đến giờ, tội phạm mạng chỉ nhắm mục tiêu vào máy tính, điện thoại thông minh và máy tính bảng, nhưng nay chúng đang tạo ra ransomware có thể gây ra tác động tương tự với các website – giữ các tập tin, các trang và hình ảnh của trang web mục tiêu để đòi tiền chuộc.
Được gọi là Linux.Encoder.1, loại ransomware mới nhắm đến các website và máy chủ chạy nền tảng Linux bằng cách mã hóa MySQL, Apache, và thư mục home/root cùng với trang mục tiêu và yêu cầu 1 Bitcoin (~ 300$) để giải mã các tập tin.
Ransomware được phát tán đến trang web mục tiêu thông qua các lỗ hổng trong plugin hoặc phần mềm của bên thứ ba.
Một khi lây nhiễm, mã độc Linux.Encoder.1 mã hóa tất cả các file trong thư mục Home trên hệ thống cũng như thư mục Backup và System Folders cùng với các file của trang web, các trang, hình ảnh, thư viện mã và các script.
Ransomware sử dụng mã hóa AES
Theo các nhà nghiên cứu, ransomware này cần có đặc quyền root để hoạt động. Ngoài ra, khi khởi động, mã độc bắt đầu tải xuống:
• Tin nhắn tống tiền có chứa các yêu cầu của tin tặc
• Một tập tin có chứa khóa RSA công cộng.
Sau đó, ransomware hoạt động như một chương trình nền và xóa tất cả các tập tin gốc. Khóa RSA được dùng để lưu trữ các khóa AES được ransomware sử dụng để mã hóa các tập tin trên máy tính bị lây nhiễm.
Ransomware cũng thêm phần mở rộng .encrypt vào từng file mã hóa và viết ra một tin nhắn đòi tiền chuộc trong mỗi thư mục.
Cụ thể, mã độc mã hóa các tập tin trong các thư mục thường được tìm thấy trong máy chủ Web Linux, gồm các thư mục như home, root, MySQL, Apache, và bất kỳ thư mục nào có chứa git, svn, webapp, www, public_html, hoặc backup.
Hơn nữa, ransomware tìm kiếm các tập tin có phần mở rộng cụ thể cho môi trường phát triển Web gồm js, css, .properties, .xml, .ruby, .php, .html, gz, asp, và các phần mở rộng tập tin khác như .rar, .7z, .xls, .pdf, .doc, avi, mov, .png, .jpg.
Cho đến khi các nhà nghiên cứu tạo ra một chương trình giải mã, các quản trị web được khuyến cáo sao lưu tất cả các dữ liệu quan trọng đề phòng trường hợp bị tấn công.
Nguồn: The Hacker News
Từ trước đến giờ, tội phạm mạng chỉ nhắm mục tiêu vào máy tính, điện thoại thông minh và máy tính bảng, nhưng nay chúng đang tạo ra ransomware có thể gây ra tác động tương tự với các website – giữ các tập tin, các trang và hình ảnh của trang web mục tiêu để đòi tiền chuộc.
Được gọi là Linux.Encoder.1, loại ransomware mới nhắm đến các website và máy chủ chạy nền tảng Linux bằng cách mã hóa MySQL, Apache, và thư mục home/root cùng với trang mục tiêu và yêu cầu 1 Bitcoin (~ 300$) để giải mã các tập tin.
Ransomware được phát tán đến trang web mục tiêu thông qua các lỗ hổng trong plugin hoặc phần mềm của bên thứ ba.
Một khi lây nhiễm, mã độc Linux.Encoder.1 mã hóa tất cả các file trong thư mục Home trên hệ thống cũng như thư mục Backup và System Folders cùng với các file của trang web, các trang, hình ảnh, thư viện mã và các script.
Ransomware sử dụng mã hóa AES
Theo các nhà nghiên cứu, ransomware này cần có đặc quyền root để hoạt động. Ngoài ra, khi khởi động, mã độc bắt đầu tải xuống:
• Tin nhắn tống tiền có chứa các yêu cầu của tin tặc
• Một tập tin có chứa khóa RSA công cộng.
Sau đó, ransomware hoạt động như một chương trình nền và xóa tất cả các tập tin gốc. Khóa RSA được dùng để lưu trữ các khóa AES được ransomware sử dụng để mã hóa các tập tin trên máy tính bị lây nhiễm.
Ransomware cũng thêm phần mở rộng .encrypt vào từng file mã hóa và viết ra một tin nhắn đòi tiền chuộc trong mỗi thư mục.
Cụ thể, mã độc mã hóa các tập tin trong các thư mục thường được tìm thấy trong máy chủ Web Linux, gồm các thư mục như home, root, MySQL, Apache, và bất kỳ thư mục nào có chứa git, svn, webapp, www, public_html, hoặc backup.
Hơn nữa, ransomware tìm kiếm các tập tin có phần mở rộng cụ thể cho môi trường phát triển Web gồm js, css, .properties, .xml, .ruby, .php, .html, gz, asp, và các phần mở rộng tập tin khác như .rar, .7z, .xls, .pdf, .doc, avi, mov, .png, .jpg.
Cho đến khi các nhà nghiên cứu tạo ra một chương trình giải mã, các quản trị web được khuyến cáo sao lưu tất cả các dữ liệu quan trọng đề phòng trường hợp bị tấn công.
Nguồn: The Hacker News