Доступен инструмент для расшифровки файлов, зараженных Linux.Encoder.1

2015-11-11 379 комментарии
Антивирусный вендор Bitdefender выпустил инструмент для дешифрования файлов, который автоматически восстанавливает инфицированные Linux.Encoder.1 файлы в исходное состояние

Провал вымогателя под Linux вызван предсказуемым ключом шифрования

Нет необходимости взламывать криптографический алгоритм RSA, когда Вы можете угадать ключ шифрования.

Трояны-вымогатели, шифрующие пользовательские файлы, широко распространены в системах Windows. Это был только вопрос времени для появления подобных угроз на Linux. Dubbed Linux.Encoder.1 является первым образцом вымогателя для Linux и по своему поведению очень напоминает CryptoWall, TorLocker и другие печально известные семейства вымогателей для Windows.

Как это работает?

Linux.Encoder.1 исполняется на компьютере жертвы под управлением ОС Linux после того, как злоумышленники смогли воспользоваться уязвимостью в популярной системе управления контентом (CMS) Magento. При запуске троян выполняет поиск директории /home, /root and /var/lib/mysql и начинает зашифровывать ее содержимое. Также, как и аналогичные трояны для Windows, он зашифровывает файлы с помощью алгоритма AES (симметричный алгоритм блочного шифрования), который обеспечивает достаточную надежность и скорость при минимальном потреблении системных ресурсов. Затем симметричный ключ шифруется ассиметричным алгоритмом шифрования (RSA) и добавляется в файл совместно с вектором инициализации AES.

Когда файлы были зашифрованы, троян пытается также зашифровывать содержимое root (/), пропуская только критические системные файлы, поэтому операционная система сможет повторно загрузиться.

В этот момент можно с уверенностью предположить, что пользователи не смогут вернуть свои данные, если не заплатят определенный взнос операторам для получения приватного ключа RSA для расшифровки файлов, зашифрованных с помощью AES. Тем не менее, главная уязвимость трояна позволила исследователям Bitdefender восстановить ключ AES без расшифровки его с помощью приватного ключа RSA.

Подробнее о шифровании

На протяжении всего 2015 года большинство крипто-вымогателей использовали смешанные алгоритмы для “удерживания в заложниках” ценную информации. Для быстрого и эффективного шифрования больших объемов данных, крипто-вымогатели использовали алгоритм Advanced Encryption Standard (AES) - алгоритм шифрования, который использует симметричные ключи (один и тот же ключ для шифрования и расшифровки). Чтобы избежать перехвата ключа шифрования при переправке его из сервера управления, операторы крипто-вымогателей обычно дополняют AES алгоритмом RSA (алгоритм шифрования с ассиметричными ключами). RSA генерирует пару дополнительных общедоступного и приватного ключей - ключ общего пользования используется для шифрования, а приватный ключ для расшифровки. Эти ключи обычно генерируются на сервере хакеров, и только общедоступный ключ отправляется на машину жертвы. Так как, с точки зрения потребления ресурсов, RSA является менее эффективны алгоритмом при работе с большим объемом данных, публичный ключ используется только для шифрования небольшого, но критически важного участка информации: ключа шифрования, используемого AES, который генерируется на локальной машине. Зашифрованный по RSA ключ AES затем вставляется в начало каждого зашифрованного файла вместе с оригинальными разрешениями файла и вектором инициализации, используемым AES.

Ошибка на миллион долларов

Мы уже упомянули, что ключ AES генерируется локально, на компьютере жертвы. Исследователи Bitdefender рассмотрели способ генерации ключа и вектора инициализации путем анализа инженерного образца Linux.Encoder.1 в собственной лаборатории. Специалисты понимают, что вместо генерации защищенных случайных ключей и векторов инициализации, образец будет будет получать оба участка данных из функции libc rand(), которая привязана к метке времени в конкретный момент шифрования. Это серьезная уязвимость, которая позволяет извлекать ключ шифрования AES без расшифровки его при помощи общедоступного ключа RSA, продаваемого оператором трояна.

Доступен автоматизированный инструмент для расшифровки

Bitdefender является первым вендором антивирусного ПО, который выпустил инструмент для дешифрования, который автоматически восстанавливает инфицированные файлы в исходное состояние. Инструмент определяет вектор инициализации и ключ шифрования с помощью простого анализа файла затем выполняет расшифровку и исправление разрешений файлового доступа. Если Вы можете загрузить инфицированный компьютер, скачайте скрипт и запустите его с правами администратора.

Пошаговая инструкция по восстановлению доступа над файлами:

  • Скачайте скрипт Decrypter_0.2.zip из репозитория лаборатории Bitdefender (есть вероятность, что шифрование повлияло на работоспособность системы, поэтому может понадобиться загрузка с загрузочного диска или загрузка инфицированного раздела на чистой машине)
  • Смонтируйте зашифрованный раздел с помощью команды mount /dev/[encrypted_partition]
  • Сгенерируйте список зашифрованных файлов с помощью команды /mnt# sort_files.sh encrypted_partition > sorted_list
  • Выполните команду для получения первого файла: /mnt# head -1 sorted_list
  • Запустите утилиту для дешифрования для получения начального блока шифрования: /mnt# python decrypter.py –f [first_file]
  • Расшифруйте все файлы с использованием отображаемого ключа шифрования: /mnt# python decrypter.py –f [first_file]

Учитывая сложность задач, Bitdefender предоставляет бесплатную поддержку любому пользователю, которому требуется помощь. Отправьте комментарий с помощью формы на странице http://labs.bitdefender.com/2015/11/linux-ransomware-debut-fails-on-predictable-encryption-key/?sm_id=SMGlobal и команда Bitdefender поможет устранить заражение.

Если ваша машина была взломана, рассмотрите меры безопасности. Большинство операторов крипто-вымогателей уделяют особое внимание способами генерации ключей, чтобы убедиться в сохранении зашифрованного состояния пользовательских платы до оплаты. Ошибки, подобные описанной, встречаются редко и являются большой удачей. В следующей раз примите профилактические меры: никогда не запускайте приложения, которым Вы полностью не доверяете. Неизвестные приложения могут представлять серьезный риск безопасности и вероятно инфицируют систему или нарушат целостность данных.

Регулярно делайте резервные копий данных. Если компьютер станет жертвой вымогателя, самым простым способом возвращения доступа будет восстановление файлов из резервной копии. Помните, что легкие деньги являются главным мотиватором для операторов крипто-вымогателей, которые разрабатывают данные угрозы и совершенствуют их. Чем меньше прибыли они получат, тем меньше их будет интересовать данная сфера.

Если ваше устройство на Linux является частью корпоративной сетевой инфраструктуры, Вы можете рассмотреть установку специализированного решения безопасности - Bitdefender Gravity Zone. Продукт блокирует данный тип угроз еще до того, как зловред сможет необратимо зашифровать файлы.

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте