Linux.Encoder.1 : El primer "ransomware" contra Linux ha muerto (ya) (Pagina 1) / El mundo de las distribuciones GNU-Linux / Foro Wifi-libre.com

El libre pensamiento para un internet libre

No estas registrado.     

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#1 10-11-2015 19:41:22

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 2,051

Linux.Encoder.1 : El primer "ransomware" contra Linux ha muerto (ya)

Linux.Encoder.1 :
   Nacimiento y muerte del primer ransomware diseñado contra sistemas basados en Linux que usan Magento
            (un gestor de contenidos web opensource para comercio electrónico) 

ransom_1.jpg

 

¿Que es un ransomware?

  Un ransomware es un malware que va a secuestrar datos privados en su disco y pedir dinero a cambio de la llave para volver a descifrarlos.
Dicho de otro modo :
Una vez que tienes un ransomware en tu sistema; pagas o pierdes los datos secuestrados.
  Es una amenaza corriente bajo Windows.
En España tuvimos al famoso "Virus de la policía",
Un ransomware que secuestraba su computadora haciéndose pasar por un tipo de "multa digital".

ransom_2.jpg

El hilo puede parecer gordo y el gancho grosero... no impide que este ransomware ha hecho bastantes daños y mas de uno ha picado.
  La receta para un chantaje es tener presa sobre su victima para que se mantenga callada : Infectando ficheros que infringen derechos de autores es un buen medio para tener presa sobre su victima y comprar su silencio.
  Otro ransomware que ha hecho mucho hablar de el ha sido cryptolocker

ransom_3.jpg

  Con descuento si se usaba bitcoins lol

Linux.encoder.1 : Como funciona el primer ransomware "contra Linux"

El ransomware Linux.Encoder.1 no ha sido diseñado contra las distribuciones GNU-Linux que usamos.
Ha sido diseñado contra servidores que usan la plataforma Magento.
Secuestrar un negocio es mucho mas rentable que secuestras las fotos de la boda de tu prima. big_smile
¿Como funciona Linux.Encoder.1?

  El malware tiene por objetivo cifrar los directorios /home (documentos personales), /root (sistema) y /var/lib/mysql (base de datos del negocio)
Dejaba unos ficheros de root sin cifrar, lo justo para que funcione el sistema para poder pedir dinero en contra del rescate de datos.
Primero cifrá con un llave AES. Es decir un cifrado simétrico (una llave).
El cifrado simétrico no es seguro
Asi que el malware añade una a capa de RSA (cifrado asimétrico, una lave publica para encriptar... y una llave privada para desencriptar) para proteger la llave AES

   A estas alturas, para tener la llave AES, es necesario obtener la llave privada empleada en el RSA.
  Esto es en teoría imposible y el administrador tiene que pegar el rescate para tener la llave privada.

La brecha en la brecha que mata a Linux.Encoder.1

  El "problema" si se diseña un virus para linux es que va a ser muy fácil rastrear-lo. ( hacer un "reverse")
Es lo que han hecho desde los laboratorios "Bitdefender"
fuente de este tema

  Se dieron cuenta de  que el malware hace una llamada a una función externa :

 libc rand() 

  Así encontraron  el talón de aquileas del malware
  No es necesario romper la llave RSA para obtener la lave AES... si podemos obtener la lave AES directamente. wink
  ¿Como se forma la llave AES empleada por linux encoder?

  1. Primero pilla cadenas obtenidas con la llamada a la función libc rand()

  2. Luego "saltea" el resultado utilizando como semilla el tiempo del reloj del sistema (la hora de la infección)

  Sabiendo esto no es complicado obtener esta información examinando los ficheros para deducir la llave AES y volver a descifrar los directorios rehenes.
Los de BitDefender han librado un script en python para automatizar los pasos a seguir : Decrypter_0.2.zip
En el peor de los casos se puede ejecutar el script desde una live (cualquiera que tenga python 2.7 o superior) y recuperar el sistema de fichero.

Desconectado

Anuncio

Wifi-highpower.es es distribuidor oficial de Alfa Network

Pie de página

Información del usuario

Ultimo usuario registrado: Ike
Usuarios registrados conectados: 1
Invitados conectados: 4

Conectados: Ike

Estadisticas de los foros

Número total de usuarios registrados: 356
Número total de temas: 615
Número total de mensajes: 4,217

Máx. usuarios conectados: 45 el 12-04-2016 12:02:20