Шифровальщик Linux.Encoder.1 заразил порядка 2000 сайтов

Шифровальщик Linux.Encoder.1 заразил порядка 2000 сайтов

В начале ноября 2015 года компания «Доктор Веб» сообщила о появлении опасного троянца-шифровальщика для ОС семейства Linux, и эта публикация получила широкий резонанс в средствах массовой информации.

Сегодня наши специалисты могут поделиться некоторыми дополнительными подробностями об этом троянце, получившем наименование Linux.Encoder.1.

Основной целью злоумышленников, распространяющих троянца-шифровальщика Linux.Encoder.1, стали размещенные на серверах с установленной ОС Linux веб-сайты, работающие с использованием различных систем управления контентом (Content Management Systems, CMS) — в частности, WordPress, а также популярного программного комплекса для организации интернет-магазинов Magento CMS. Для атаки используется неустановленная пока уязвимость.

Получив несанкционированный доступ к сайту, киберпреступники размещали на нем файл error.php (в Magento CMS он помещался в служебную папку для хранения шаблонов оформления — /skin/). Этот файл играет роль шелл-скрипта и позволяет злоумышленникам выполнять иные несанкционированные действия — в частности, атакующие могут отдавать ему различные команды. С использованием данного шелл-скрипта они размещали на сервере в той же папке другой файл с именем 404.php, представляющий собой дроппер троянца-энкодера Linux.Encoder.1. Активизировавшись по команде злоумышленников (для этого им достаточно обратиться к PHP-файлу, набрав соответствующий адрес в адресной строке браузера), дроппер предположительно определяет архитектуру работающей на сервере операционной системы (32- или 64-разрядная версия Linux), извлекает из собственного тела соответствующий экземпляр шифровальщика и запускает его, после чего удаляется.

Поскольку энкодер Linux.Encoder.1 запускается с правами встроенного пользователя www-data (то есть с правами приложения, работающего от имени веб-сервера Apache), этих привилегий вполне достаточно, чтобы зашифровать файлы в папках, для которых у данного встроенного пользователя имеются права на запись, — иными словами, там, где хранятся файлы и компоненты «движка» веб-сайта. Если по каким-либо причинам у шифровальщика окажутся более высокие привилегии, он не ограничится одной лишь папкой веб-сервера. После этого троянец сохраняет на диске сервера файл с именем README_FOR_DECRYPT.txt, содержащий инструкции по расшифровке файлов и требования злоумышленников. Судя по сведениям, которые можно получить с использованием соответствующего запроса в поисковой системе Google, на 12 ноября 2015 года в Интернете насчитывается порядка 2000 веб-сайтов, предположительно атакованных шифровальщиком Linux.Encoder.1.

Проанализировав данную схему атаки, можно прийти к выводу, что, во-первых, вопреки расхожему мнению, злоумышленникам не требуется получать права root для успешной компрометации веб-серверов под управлением Linux и шифрования файлов, а во-вторых, троянец представляет серьезную опасность для владельцев интернет-ресурсов, особенно с учетом того, что многие популярные CMS до сих пор имеют незакрытые уязвимости, а некоторые администраторы сайтов либо игнорируют необходимость своевременного обновления работающего на сервере ПО, либо используют устаревшие версии систем управления контентом.

Несмотря на то, что Linux.Encoder.1 в силу своих архитектурных особенностей не в состоянии необратимо повредить или уничтожить всю размещенную на сервере информацию, сохраняется вероятность того, что злоумышленники со временем могут модифицировать используемые ими алгоритмы шифрования, устранив все «слабые места». Поэтому серьезная опасность потерять важные файлы сохраняется даже для пользователей такой относительно безопасной ОС, как Linux, и в первую очередь — для администраторов веб-сайтов, работающих под управлением популярных систем управления контентом. Напоминаем, что сигнатура Linux.Encoder.1 добавлена в базы Антивируса Dr.Web для Linux. Специалисты компании «Доктор Веб» внимательно следят за развитием ситуации.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Глушилки для дронов обяжут согласовывать с МВД наравне с оружием

В октябре Госкомиссия по радиочастотам рассмотрит предложение об обязательном согласовании применения средств радиоэлектронного подавления (РЭП) с территориальными органами МВД. Фактически эта мера приравняет использование РЭП к обороту гражданского оружия.

Как сообщают «Известия», вопрос уже включен в повестку заседания Госкомиссии по радиочастотам (ГКРЧ). Владельцам средств РЭП предстоит согласовывать их размещение и эксплуатацию с территориальными подразделениями МВД.

«В данном случае государство действует на опережение, не дожидаясь серьезных последствий стихийной борьбы с БПЛА — например, в сфере авиаперевозок», — прокомментировал инициативу генеральный директор TelecomDaily Денис Кусков.

По его словам, бесконтрольное использование РЭП пока не привело к крупным инцидентам, но уже вызывает серьезное недовольство автоперевозчиков и автомобилистов. Радиопомехи мешают работе навигационных систем транспорта, что приводит к штрафам за якобы отключенные системы слежения.

В частности, ассоциация «Грузавтотранс» подала жалобу в Роскомнадзор на использование таких устройств вдоль дорог. По оценке эксперта, глушилки применяют не только охранные компании, но и управляющие организации в ЖКХ, садовые товарищества и отдельные железнодорожные станции.

Заместитель гендиректора НИЦ «Аэроскрипт», эксперт НТИ «Аэронет» Андрей Яблоков отметил, что работа РЭП может повлиять и на функционирование авионики пилотируемых воздушных судов. Поэтому применение подобных систем необходимо жестко регулировать.

Партнер ComNews Research Леонид Коник напомнил, что еще в июле 2024 года было введено требование регистрировать устройства радиоподавления в Роскомнадзоре и получать письменное согласие на их использование от Минобороны.

Однако, по его словам, на практике эти требования часто игнорируются. Эксперт считает логичным возложить на МВД функции выявления нарушителей, но при этом передать разрешительные процедуры одному органу, чтобы избежать «дублирования» согласований.

Партнер «Рустам Курмаев и партнеры» Дмитрий Горбунов, напротив, полагает, что подключение МВД к процессу выдачи разрешений обоснованно и необходимо. По его мнению, это соответствует общей системе координации правоохранительных органов, тем более что у МВД есть нужная инфраструктура.

Заместитель директора компании «Лаборатория будущего» Илья Шевелев добавил, что в стране нет единого органа, отслеживающего, где и кем используются системы РЭП. По его мнению, контролировать размещение и применение таких устройств должны МВД или Организация воздушного движения, которая координирует полеты.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru