[資安新聞] 針對Linux作業系統之加密勒索軟體現蹤

資安廠商Doctor Web於11/6發現一隻名為Linux.Encoder.1的惡意程式,專門瞄準Linux作業系統而來,企圖藉由加密檔案向被害者勒索。Doctor Web根據其加密的目錄判斷,駭客主要目標是網站管理員。Linux.Encoder.1會利用電子商務網站常用的Magento內容管理系統軟體漏洞嘗試入侵,如成功進入主機系統後,就會加密受害電腦中與網站管理有關的主目錄。Linux.Encoder.1在加密檔案後會加入.encrypted的副檔名,目錄名稱也會加上駭客指定的字串。每個目錄內除了包含被加密的檔案外,還包含駭客勒贖要求的文字檔README_FOR_DECRYPT.txt。它會以AES加密系統上的檔案,再以RSA加密對稱金鑰,但會放過重要的系統檔案,以讓系統仍能重新運作,之後駭客即會要使用者支付贖金,以取得RSA私鑰來解鎖AES對稱金鑰。

根據研究人員蒐集到的檔案訊息,駭客要求受害者要支付1個比特幣(約400美金)才能解除檔案的加密。Doctor Web建議,受害者最好能將樣本及詳細情況提供給專業人員,擅自修改或刪除檔案,可能導致永遠救不回被加密的資料。Doctor Web估計目前受害電腦並不多,只有數十台。雖然Checkpoint於2015/4已經發現Magento的漏洞,Magento也已在2015/10底釋出修補程式,不過仍有許多小型商務網站未能及時更新。

不過,另一資安業者Bitdefender在11/10發現,Linux.Encoder.1勒索軟體中含有一個漏洞,讓他們得以直接回復AES金鑰而不必利用RSA來解鎖。Bitdefender也立即釋出解密工具,可自動回復所有受影響的檔案,若受害者能夠重新啟動系統,只要下載該工具,再以最高權限執行該工具即可。不過,Bitdefender的解密工具並非百分之百可行,主要是因為部分受害者重覆感染了Linux.Encoder.1,導致不同的檔案被不同的金鑰加密,造成某些檔案永久無法修復。加密勒索軟體引起高度重視,是因為它們會確保受害者在支付贖金之前無法解密檔案。Encoder勒索軟體所出現的錯誤是極幸運也極罕見的,Bitdefender還是建議網管人員不要以最高權限執行不完全信任的程式,強化安全防護機制並經常備份。


資料來源:
https://news.drweb.com/show/?i=9686&lng=en&c=5
http://vms.drweb.com/virus/?i=7704004&lng=en
http://labs.bitdefender.com/2015/11/linux-ransomware-debut-fails-on-predictable-encryption-key/
http://www.ithome.com.tw/news/99865
http://www.ithome.com.tw/news/99948

資訊來源:
行政院國家資通安全會報技術服務中心整理
http://www.icst.org.tw/NewsRSSDetail.aspx?lang=zh&RSSType=news&seq=15356