Security First

Linux Ransomware: come funziona e come proteggersi

2 minuti lettura
ransom logo FINAL
ransom logo FINAL
ransom-img

I Ransomware sono fra i peggiori programmi malware che possano capitarvi sottomano, e sono una bella spina nel fianco.
Consentono all’hacker di crittografare i contenuti del disco rigido di un server e di mandare al webmaster una richiesta di riscatto, spesso in Bitcoin, in cambio di una chiave per decifrare.
“Vuoi la chiave per decifrare i tuoi dati?Paga!”.

Fino ad ora i criminali informatici prendevano di mira i computer, tablet e smartphone, da oggi si sono estesi ai siti web, in particolare quelli in possesso di file, pagine ed immagini utili per il riscatto.

Linux.Encoder.1, il nuovo ceppo di Ransomware , rilevato inizialmente dalla società di antivirus russa Dr.Web, mira siti web e server Linux crittografando MySQL, Apache, e le cartelle home /root associate al sito di destinazione e chiedendo 1 Bitcoin (circa 300 dollari) per decifrare i file.

La richiesta di riscatto viene consegnata al sito di destinazione, sfruttando le vulnerabilità dello stesso  (plugin o software di terze parti).

Una volta infettato il sito,  Linux.Encoder.1 crittografa tutti i file nelle directory del sistema così come le directory di backup e le cartelle di sistema associate ai file di siti web, pagine, immagini, librerie di codice e script.

Come funziona nello specifico?

Linux Ransomware sembra servirsi dei privilegi di root per funzionare e una volta lanciato, il malware inizia a scaricare:

– il messaggio di riscatto, che contiene le richieste dei truffatori;
– un file con la chiave pubblica RSA.

Dopo di che il malware inizia a lavorare come un demone, eliminando tutti i file originali. La chiave RSA viene poi utilizzata per memorizzare le chiavi AES che vengono utilizzate per crittografare i file locali sul computer infetto.

Il malware aggiunge anche l’estensione .encrypt per ogni file, crittografa e scrive un messaggio di testo (riscatto) in ogni cartella.

Il messaggio che la vittima riceverà sarà all’incirca questo:

Ransomware

Il malware codifica nello specifico file in cartelle che si trovano tipicamente in configurazioni server web Linux, tra cui directory come home, root, MySQL, Apache, e qualsiasi directory che comprende termini come git, svn, webapp, www, public_html, o di backup.

Inoltre cerca i file con estensioni specifiche per ambienti di sviluppo web, tra cui .js, css, .properties, .xml, .ruby, .php, .html, gz e asp, così come altre estensioni di file quali .rar, .7z, .xls, .pdf, .doc, .avi, .mov, .png, .jpg.

Una volta pagato il riscatto il sistema riceve il segnale di passare nuovamente sopra le directory per decriptare i file.

Fino a quando i ricercatori non saranno in grado di creare un programma di decodifica utilizzabile, consigliamo di effettuare periodicamente un backup dei vostri siti, da utilizzare per non pagare il riscatto e di mantenere protetti i file importanti.

Tutti i nostri piani Hosting Linux forniscono un backup settimanale sia del database che FTP, che volendo può esser portato a giornaliero.

In caso voleste effettuare più backup, i nostri VPS sono sempre a disposizione.

Avatar photo
7 articoli

Note sull'autore
Sales Account Editor
Articoli
Articoli correlati
Security First

Come nascondere la versione di Nginx e Apache su Linux e Unix

4 minuti lettura
Stai usando Nginx o Apache sul tuo server web? Presta attenzione alla versione del software, verificando che non sia visibile negli header…
Security First

Attacco DDoS: cos'è e come prevenirlo

2 minuti lettura
Gli attacchi DDoS, acronimo di Distributed Denial-of-Service, rappresentano una seria minaccia. Questa tipologia di attacco ha l’obiettivo di sopraffare un server, una…
Security First

Violazioni dati sul cloud: come Veeam può proteggerli

2 minuti lettura
I dati aziendali archiviati in cloud sono diventati i bersagli preferiti degli hacker, costringendo le aziende a investire cifre record per adottare…