Νέο crypto-ransomware στοχεύει Linux συστήματα και servers

[nnn]

Η εταιρία antivirus Doctor Web προειδοποιεί για έναν νέο τύπο crypto-ransomware που στοχεύει χρήστες του λειτουργικού Linux.
Το ransomware στο οποίο δόθηκε η κωδική ονομασία Linux.Encoder.1, στοχεύει Web servers, των οποίων το περιεχόμενο κρυπτογραφεί και απαιτεί την πληρωμή λύτρων ύψους 1 Bitcoin για την αποστολή του κλειδιού αποκρυπτογράφησης.

Πολλά από τα συστήματα έπεσαν θύμα του Linux.Encoder.1, μετά την εκμετάλευση μιας ευπάθειας στο Magento CMS -που χρησιμοποιείται σε e-commerce sites-, patch της οποίας διατέθηκε στις 31 Οκτωβρίου.

Το ransomware απαιτεί administrator privileges για να τρέξει και στην συνέχεια κρυπτογραφεί (128-bit AES crypto) όλα τα /home directories καθώς και ότι αρχεία έχουν σχέση με websites, τα οποία βρίσκονται στο μηχάνημα.

Στην συνέχεια "περνάει" όλο το directory structure, κρυπτογραφόντας διάφορα αρχεία (Apache, Nginx και MySQL installations, windows executables, DLLs, .asp αρχεία, SQL, Java, JavaScript και αρχεία κειμένου).

Σε κάθε directory εγγράφει ένα αρχείο κειμένου με όνομα README_FOR_DECRYPT.txt, στο οποίο απαιτεί την πληρωμή και δίνει οδηγίες για αυτήν δίνοντας link σε ένα κρυφό Tor service.

Με την πληρωμή των λύτρων και την εισαγωγή του κλειδού, αποκρυπτογραφεί τα αρχεία και διαγράφει τον εαυτό του.

Πηγή : Arstechnica

[Nikiforos]

Αρχισαν τα οργανα!!!! μου φαινεται θα απενεργοποιησω τον web server στο nas μου μεχρι νεωτερας.....
αυτο ποτε εγινε? προχτες αναβαθμισα το FW του και ελεγε οτι διορθωσε διαφορες ευπαθειες αλλα δεν θυμαμαι τι ηταν....

[sdikr]

Η εταιρία antivirus Doctor Web προειδοποιεί για έναν νέο τύπο crypto-ransomware που στοχεύει χρήστες του λειτουργικού Linux.
Το ransomware στο οποίο δόθηκε η κωδική ονομασία Linux.Encoder.1, στοχεύει Web servers, των οποίων το περιεχόμενο κρυπτογραφεί και απαιτεί την πληρωμή λύτρων ύψους 1 Bitcoin για την αποστολή του κλειδιού αποκρυπτογράφησης.

Πολλά από τα συστήματα έπεσαν θύμα του Linux.Encoder.1, μετά την εκμετάλευση μιας ευπάθειας στο Magneto CMS -που χρησιμοποιείται σε e-commerce sites-, patch της οποίας διατέθηκε στις 31 Οκτωβρίου.

Το ransomware απαιτεί administrator privileges για να τρέξει και στην συνέχεια κρυπτογραφεί (128-bit AES crypto) όλα τα /home directories καθώς και ότι αρχεία έχουν σχέση με websites, τα οποία βρίσκονται στο μηχάνημα.

Στην συνέχεια "περνάει" όλο το directory structure, κρυπτογραφόντας διάφορα αρχεία (Apache, Nginx και MySQL installations, windows executables, DLLs, .asp αρχεία, SQL, Java, JavaScript και αρχεία κειμένου).

Σε κάθε directory εγγράφει ένα αρχείο κειμένου με όνομα README_FOR_DECRYPT.txt, στο οποίο απαιτεί την πληρωμή και δίνει οδηγίες για αυτήν δίνοντας link σε ένα κρυφό Tor service.

Με την πληρωμή των λύτρων και την εισαγωγή του κλειδού, αποκρυπτογραφεί τα αρχεία και διαγράφει τον εαυτό του.

Πηγή : Arstechnica

Ακόμα ποιο δυνατός απο τους windows versions, εκεί τουλάχιστον λόγο του ότι τα αρχεία μέσω ms sql είναι ανοιχτά δεν μπορεί να τα πειράξει!

[dimitri_ns]

Για πλάκα ακούγεται.
1 bitcoin?
Πόσα περιμένουν να μαζέψουν? (από μηχαηματα που τρέχουν Magneto CMS)

[nnn]

Για πλάκα ακούγεται.
1 bitcoin?
Πόσα περιμένουν να μαζέψουν? (από μηχαηματα που τρέχουν Magneto CMS)

Doctor Web researchers currently place the number of victims in the "at least tens" range, but attacks on other vulnerable content management systems could increase the number of victims dramatically.

- - - Updated - - -

According to the research conducted by aheadWorks in May 2015, Magento's market share among the 30 most popular e-commerce platforms is about 29.8%.[2]

[mrsaccess]

Εγώ τον μόνο Magneto που ξέρω, είναι αυτός που πλακώνεται με τον Professor X πάντως. Επίσης επειδή τρόμαξα από τα «δεκάδες» κρούσματα παγκοσμίως, πήγα να κάνω backup τα αρχεία μου αλλά δεν βρήκα ούτε dll, ούτε asp.

[deniSun]

Για πλάκα ακούγεται.
1 bitcoin?
Πόσα περιμένουν να μαζέψουν? (από μηχαηματα που τρέχουν Magneto CMS)

~350ε
Λίγα είναι;

[Brainstorm389]

*Magento παιδια. Οχι Magneto.

[Nikiforos]

*Magento παιδια. Οχι Magneto.

καλημερα! εμ γιαυτο θυμηθηκα κατι με Xmen?

[Avatar_GR]

Το ransomware απαιτεί administrator privileges για να τρέξει και στην συνέχεια [B]κρυπτογραφεί (128-bit AES crypto) όλα τα /home directories καθώς και ότι αρχεία έχουν σχέση με websites, τα οποία βρίσκονται στο μηχάνημα.
Πηγή : Arstechnica

Administrator previlages. Άρα αν δεν μπει κάποιος σαν root το πρόγραμμα δεν θα μπορέσει να τρέξει, έτσι δεν είναι; Να είσαι root σε linux;;;

Εκτός αν οι server είναι μονίμως σαν root.

[Nikiforos]

Administrator previlages. Άρα αν δεν μπει κάποιος σαν root το πρόγραμμα δεν θα μπορέσει να τρέξει, έτσι δεν είναι; Να είσαι root σε linux;;;

Εκτός αν οι server είναι μονίμως σαν root.

Καλημερα, οπου εχω δει εγω δεν τρεχουν σαν root, και στους δικους μου το ιδιο, μονο αμα χρειαστει κατι μπαινεις σαν root. Ειτε με sudo ή su. Ειναι επικυνδυνο να εχεις ενα συστημα συνεχεια σαν root. Και μαλιστα πολλες φορες δεν μπορεις να κανεις login σαν root σε γραφικο περιβαλλον ειναι κλειδωμενο.
Αν ομως ο κωδικος για τον root ειναι κατι με λιγα νουμερα-γραμματα ή κατι απλο τοτε μπορει να βρεθει ευκολα, αν υπαρχει firewall και καταφερουν να περασουν απο αυτο ετσι? Εξαλου δεν θελει χειροκινητο ψαξιμο εχουν αυτοματοποιημενα προγραμματα και τα κανουν αυτα. Γιαυτο οι servers πρεπει να ειναι πισω προστατευμενοι απο καλα firewalls, δυστυχως μερικες ευπαθειες σε υπηρεσιες αφηνουν ανοιχτα πορτακια και αυτα εκμεταλευονται οι hackers.

[blade_]

μαλιστα.μονη λυση το συχνο backup και αστους να τρεχουν.

[minos197]

Administrator previlages. Άρα αν δεν μπει κάποιος σαν root το πρόγραμμα δεν θα μπορέσει να τρέξει, έτσι δεν είναι; Να είσαι root σε linux;;;

Εκτός αν οι server είναι μονίμως σαν root.

Ακριβώς αν τρέχεις Linux και τρέχεις προγραμμάτα απο το internet σαν root καλύτερα να γυρίσεις στα Windows. Και εγώ είχα γραψει ιό για linux που τρέχει με root σαν εργασία στο πανεπιστήμιο αλλά δεν το έκανα θέμα, το θέμα είναι τι μπορείς να κάνεις χωρίς privilledges.Και οι server admins συνηθως δεν τρέχουν roοt για κανένα λόγο, το έχουν disabled απο default ,και χρησιμοποιούν fakeroot το compile η κόλπα τύπου virtualevn η KVM για δοκίμες η ακόμα καλύτερα έχουν NFS boot , με read only filesystem στo root kai home απο ένα nasbox, με τίποτα πέραν απο την αρχικό configuration να τρέχει η να μπορεί να επιζήσει ένα reboot.

Είναι λίγο αστείο αυτές οι εταιρίες ασφαλείας που ξεπηδάνε απο πουθενά που προσπαθούν να μας πείσουν οτι τους χρειαζόμαστε ιδιαίτερα μια και έχει αλλάξει η αγορά απο τις εποχές των windows xp. Και μην ακούσω για την προσφορά τους, η μέση CVE database έχει προσφέρει πολλά περισσότερα στην ασφαλεία, και ας είναι μη κερδοσκοπικοί οργανισμοί.

https://web.nvd.nist.gov/view/vuln/search
http://www.cvedetails.com/

[nnn]

*Magento παιδια. Οχι Magneto.

Σωστός

Τα θύματα είναι πάρα πολλά
https://www.google.gr/search?q=inurl...AoKCygPrw43QAg

[GreekStatistic]

Στα linux απλά χρειάζεται προσοχή στο τι εγκαθιστάς και στα repos κατά τα άλλα καμμία σχέση με ιούς των windows ,είναι πολύ πιο ασφαλές λειτουργικό εκ κατασκευής.
Απλό και κατανοητό παράδειγμα το android που βασίζεται σε λίνουξ... αν κατεβάζεις από Google Play δημοφιλείς εφαρμογές είναι δύσκολο να αντιμετωπίσεις το οποιοδήποτε πρόβλημα.
Αν έχεις κάνεις root το τηλέφωνο και κατεβάζεις εφαρμογές από τρίτες υπηρεσίες αργά η γρήγορα θα τη φας.

Εννοείται ότι μιλάμε για ασφάλεια σε επίπεδο τύπου κυβερνοεγκληματιών σε επίπεδο κρατικών υπηρεσιών ότι και να έχεις που συνδέεται σε δίκτυο στο κάνουν φύλλο και φτερό.