Virus atacando máquinas LinuX e a solução já existe

O vírus  Linux Ransomware  tem um defeito que tornou possível criar uma saída para os que foram atacados.  A chave de encriptação é facilmente previsível (Debut Fails on Predictable Encryption Key)

Não é necessário nenhum trabalho para quebra a chave se você pode fazer uma tentativa para descobri-lo,  como é o caso.

No need to crack RSA when you can guess the key

—————————–

Como funciona o vírus.

Ele usa uma defeito do sistema gráfico Magento – um visualizador de arquivos. Mas a principal erro é do usuário da máquina, um erro que infelizmente é muito comum: usar o sistema como administrador, o root. Evitando de cometer este erro as chances de que o vírus atue são muito pequenas.

Usando o defeito do Magento e mais o erro do usuário em operar como administrador,  o Linux.Encoder.1   faz uma encriptação de vários diretórios mas ainda deixa uma parte essencial de fora de modo que o usuário ainda pode ligar a máquina quando recebe o aviso

================ cópia da mensagem =================

Your personal files are encrypted! Encryption was produced using a unique
public key RSA-2048 generated for this computer.

To decrypt files you need to obtain the private key.

The single copy of the private key, which will allow to decrypt the files,
located on a secret server at the Internet. After that, nobody and never
will be able to restore files…

To obtain the private key and php script for this computer, which will
automatically decrypt files, you need to pay 1 bitcoin(s) (~420 USD).
Without this key, you will never be able to get your original files back.
______________________________________________

!!!!!!!!!!!!!!!!!!!!! PURSE FOR PAYMENT(ALSO AUTHORIZATION CODE):
!!!!!!!!!!!!!!!!!!!!! 16Sq7g2A4NNpsBwqpAC75ZZEt3dPDD4qN8
!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!
WEBSITE: https://z54n57pg2el6uze2.onion.to

INSTRUCTION FOR DECRYPT:

After you made payment, you should go to website
https://z54n57pg2el6uze2.onion.to
Use purse for payment as ur authorization code
(16Sq7g2A4NNpsBwqpAC75ZZEt3dPDD4qN8).
If you already did the payment, you will see decryption pack available for
download,
inside decryption pack – key and script for decryption, so all what you need
just upload and run that script ( for example:
http://http://pub.u-bordeaux3.fr/decrypt.php )

Also, at this website you can communicate with our supports and we can help
you if you have any troubles,
but hope you understand we will not answer at any messages if you not able
to pay.

!!!P.S. Our system is fully automatic, after payment you will receive you’re
!!!decrypt pack IMMEDIATELY!!!

FAQ:
Q: How can I pay?
A: We are accept only bitcoins.

Q: Where to buy bitcoins?
A: We can’t help you to buy bitcoins, but you can check link below:
https://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)

Q: I already bought bitcoins, where i should send it.
A: 16Sq7g2A4NNpsBwqpAC75ZZEt3dPDD4qN8

Q: What gonna happen after payment?
A: Download button for decryption pack will be available after you made
payment

Q: I pay, but still can’t download decryption pack
A: You need to wait 3 confirmations for bitcoin transaction.

Q: How to use decryption pack?
A: Put all files from archive to your server and just run decrpyt.php
(example: website.com/decrypt.php)

Q: Can I pay another currency?
A: No.

================  fim da cópia da mensagem =================

Como escrevi acima,

http://labs.bitdefender.com/2015/11/linux-ransomware-debut-fails-on-predictable-encryption-key/

é um site de desenvolvedores que entendem de encriptação e que sabem como lidar com o problema e basta procurar a página para procurar ajuda cujo resumo estou copiando abaixo.

==========  copia parcial da informação do site de apoio ====================

Update: There have been some developments regarding this ransomware. It was brought to our attention that the decryption tool was not working on particular cases. Upon investigation we were surprised to find out that some victims were infected more than one time (the ransomware was accidentally started more than once).


This means that some files were encrypted using a key, and others using another set of keys. However, in so doing, the race condition generated leads to some files getting irreparably damaged (their content is truncated to zero). And in some cases even the ransom notes became encrypted!

We updated the decryption utility and the README. Please read it for the new instructions.

/update

File-encrypting ransomware Trojans are almost ubiquitous on Windows, and it was only a matter of time until the advent of the first piece targeting Linux. Dubbed Linux.Encoder.1, this first piece of Linux ransomware is extremely similar in behavior to CryptoWall, TorLocker and other notorious ransomware families for Windows.

How does it work?

Linux.Encoder.1 is executed on the victim’s Linux box after remote attackers leverage a flaw in the popular Magento content management system app. Once executed, the Trojan looks for the /home, /root and /var/lib/mysql folders and starts encrypting their contents. Just like Windows-based ransomware, it encrypts the contents of these files using AES (a symmetric key encryption algorithm), which provides enough strength and speed while keeping system resources usage to a minimum. The symmetric key is then encrypted with an asymmetric encryption algorithm (RSA) and is prepended to the file, along with the initialization vector used by AES.

Once the files have been encrypted, the Trojan attempts to also encrypt the contents of the root (/), skipping only critical system files, so the operating system will be able to boot up again.

At this point, it would be safe to assume that users can’t get their data back unless they pay the operators a fee in exchange for the RSA private key to decrypt the AES symmetric one. However, a major flaw in the way the Encoder Trojan is designed allowed Bitdefender researchers to recover the AES key without having to decrypt it with the RSA private key.

============  fim da cópia

Mas um nota importante:
1) não use o seu sistema como administrador, isto o deixa praticamente invulnerável.
2) se não usar como administrador e ainda assim sofre um ataque, muito provavelmente apenas a sua área pessoa será afetada, se você fizer copias de reserva com frequência o máximo que perderá serão, os arquivos mais recentes, do dia em curso.  Faça backups diários em drive externo.
3) Como observa o site de apoio

http://labs.bitdefender.com/2015/11/linux-ransomware-debut-fails-on-predictable-encryption-key/
a autodefesa para evitar o pagamento de contribuição criminosa e uma defesa de toda a comunidade porque restringe as possibilidade de sobrevida dos criminosos.  É por isso que estou me dando do trabalho de publicar esta nota.

Este texto teve sua ortografia  verificada usando Aspell.
Tarcisio

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s