Подробности о шифровальщике Linux.Encoder.1
Компания «Доктор Web», сообщившая в начале ноября о появлении опасного троянца-шифровальщика для ОС семейства Linux, опубликовала дополнительные сведения об этом троянце, получившем наименование Linux.Encoder.1.
Основной целью злоумышленников, распространяющих Linux.Encoder.1, стали размещенные на серверах с ОС Linux Web-сайты, работающие с использованием различных систем управления контентом (CMS) – в частности, WordPress, а также программного комплекса для организации интернет-магазинов Magento CMS. Для атаки используется неустановленная пока уязвимость.
Получив несанкционированный доступ к сайту, киберпреступники размещали на нем файл error.php (в Magento CMS он помещался в служебную папку для хранения шаблонов оформления — /skin/). Этот файл играет роль шелл-скрипта и позволяет выполнять иные несанкционированные действия, в частности, атакующие могут отдавать ему различные команды. С использованием данного шелл-скрипта они размещали на сервере в той же папке другой файл с именем 404.php, представляющий собой дроппер троянца-энкодера Linux.Encoder.1. Активизировавшись по команде злоумышленников (для этого достаточно обратиться к PHP-файлу, набрав соответствующий адрес в адресной строке браузера), дроппер предположительно определяет архитектуру работающей на сервере ОС (32- или 64-разрядная версия Linux), извлекает из собственного тела соответствующий экземпляр шифровальщика и запускает его, после чего удаляется.
Поскольку энкодер Linux.Encoder.1 запускается с правами встроенного пользователя www-data (с правами приложения, работающего от имени Apache), этих привилегий достаточно, чтобы зашифровать файлы в папках, для которых у данного встроенного пользователя имеются права на запись, – т.е. там, где хранятся файлы и компоненты движка сайта. Если по каким-либо причинам у шифровальщика окажутся более высокие привилегии, он не ограничится одной лишь папкой Web-сервера. После этого троянец сохраняет на диске сервера файл с именем README_FOR_DECRYPT.txt, содержащий инструкции по расшифровке файлов и требования злоумышленников. По данным поисковой системы Google, на 12 ноября 2015 г. в Интернете насчитывалось примерно 2000 сайтов, предположительно атакованных шифровальщиком Linux.Encoder.1.
Проанализировав данную схему атаки, аналитики пришли к выводу, что, во-первых, злоумышленникам не требуется получать права root для успешной компрометации Web-серверов под управлением Linux и шифрования файлов, а во-вторых, троянец представляет серьезную опасность для владельцев интернет-ресурсов, особенно с учетом того, что многие CMS до сих пор имеют незакрытые уязвимости, а некоторые администраторы сайтов либо игнорируют необходимость обновления работающего на сервере ПО, либо используют устаревшие версии систем управления контентом.
В силу того, что создатели Linux.Encoder.1 допустили в коде шифровальщика ряд существенных ошибок, данные, поврежденные этим энкодером, поддаются расшифровке, подчеркивают в «Доктор Web». Но несмотря на то что Linux.Encoder.1 в силу своих архитектурных особенностей не в состоянии необратимо повредить или уничтожить всю размещенную на сервере информацию, сохраняется вероятность того, что злоумышленники со временем модифицируют используемые алгоритмы шифрования, устранив все слабые места. Поэтому серьезная опасность потерять важные файлы сохраняется даже для пользователей такой относительно безопасной ОС, как Linux, и в первую очередь для администраторов Web-сайтов, работающих под управлением популярных систем управления контентом.