I Ransomware sono fra i peggiori programmi malware che possano capitarvi sottomano, e sono una bella spina nel fianco.
Consentono all’hacker di crittografare i contenuti del disco rigido di un server e di mandare al webmaster una richiesta di riscatto, spesso in Bitcoin, in cambio di una chiave per decifrare.
“Vuoi la chiave per decifrare i tuoi dati?Paga!”.ransom-img

Fino ad ora i criminali informatici prendevano di mira i computer, tablet e smartphone, da oggi si sono estesi ai siti web, in particolare quelli in possesso di file, pagine ed immagini utili per il riscatto.

Linux.Encoder.1, il nuovo ceppo di Ransomware , rilevato inizialmente dalla società di antivirus russa Dr.Web, mira siti web e server Linux crittografando MySQL, Apache, e le cartelle home /root associate al sito di destinazione e chiedendo 1 Bitcoin (circa 300 dollari) per decifrare i file.

La richiesta di riscatto viene consegnata al sito di destinazione, sfruttando le vulnerabilità dello stesso  (plugin o software di terze parti). Per assicurarvi che il vostro sito sia sempre ben protetto leggete anche “Come prevenire e curare un attacco hacker”.

Una volta infettato il sito,  Linux.Encoder.1 crittografa tutti i file nelle directory del sistema così come le directory di backup e le cartelle di sistema associate ai file di siti web, pagine, immagini, librerie di codice e script.

Come funziona nello specifico?

Linux Ransomware sembra servirsi dei privilegi di root per funzionare e una volta lanciato, il malware inizia a scaricare:

– il messaggio di riscatto, che contiene le richieste dei truffatori;
– un file con la chiave pubblica RSA.

Dopo di che il malware inizia a lavorare come un demone, eliminando tutti i file originali. La chiave RSA viene poi utilizzata per memorizzare le chiavi AES che vengono utilizzate per crittografare i file locali sul computer infetto.

Il malware aggiunge anche l’estensione .encrypt per ogni file, crittografa e scrive un messaggio di testo (riscatto) in ogni cartella.

Il messaggio che la vittima riceverà sarà all’incirca questo:

Ransomware

 

Il malware codifica nello specifico file in cartelle che si trovano tipicamente in configurazioni server web Linux, tra cui directory come home, root, MySQL, Apache, e qualsiasi directory che comprende termini come git, svn, webapp, www, public_html, o di backup.

Inoltre cerca i file con estensioni specifiche per ambienti di sviluppo web, tra cui .js, css, .properties, .xml, .ruby, .php, .html, gz e asp, così come altre estensioni di file quali .rar, .7z, .xls, .pdf, .doc, .avi, .mov, .png, .jpg.

Una volta pagato il riscatto il sistema riceve il segnale di passare nuovamente sopra le directory per decriptare i file.

Fino a quando i ricercatori non saranno in grado di creare un programma di decodifica utilizzabile, consigliamo di effettuare periodicamente un backup dei vostri siti, da utilizzare per non pagare il riscatto e di mantenere protetti i file importanti.

Tutti i nostri piani Web Hosting Linux forniscono un backup settimanale sia del database che FTP, che volendo può esser portato a giornaliero.

In caso voleste effettuare più backup, le nostre soluzioni server sono sempre a disposizione.