Linux Ransomware tấn công máy chủ và đe dọa webmaster

Chỉ trong một vài năm, Ransomware đã dần trở thành một trong những mã độc nguy hiểm nhất, mã hóa toàn bộ nội dung ổ đĩa cứng/máy chủ của nạn nhân và yêu cầu tiền chuộc (thường dưới dạng Bitcoin) để trao đổi khóa giải mã. Tin tặc không gian mạng nhắm đến máy tính, điện thoại thông minh, máy tính bảng, và giờ ảnh hưởng đến cả các website. Hãng diệt virus Nga Dr.Web đã phát hiện ra Linux.Encoder.1 – một loại linux ransomware mới tấn công máy chủ website nền Linux và mã hóa MySQL, Apache và thư mục home/root rồi yêu cầu 1 Bitcoin (~300 USD) để giải mã file. Ransomware được đưa vào website thông qua các lỗ hổng phổ biến trong website plugin hoặc ứng dụng bên thứ ba. Sau khi lây nhiễm, mã độc mã hóa toàn bộ file trong chỉ mục Home trên hệ thống cùng với Backup và System Folders chứa file, trang, hình ảnh, thư viện code và script. Sau khi được chạy, ransomware bắt đầu tải về:
  • Thông điệp đòi tiền chuộc
  • Một file chứa khóa công khai RSA
Sau đó nó bắt đầu xóa toàn bộ file gốc. Khóa RSA được sử dụng để lưu trữ khóa AES dùng để mã hóa file cục bộ trên thiết bị. Các file bị mã hóa sẽ có đuôi .encrypt và có thông điệp trong mỗi thư mục.

ransomware_message

Các file mã hóa thường nằm trong chỉ mục như home, root, MySQL, Apache và nơi có các từ như git, svn, webapp, www, public_html hoặc backup. Thêm vào đó ransomware cũng tìm các file có phần mở rộng như .js, .css, .properties, .xml, .ruby, .php, .html, .gz, .asp, .rar, .7z, .xls, .pdf, .doc, .avi, .mov, .png, và .jpg. Cho đến khi các nhà nghiên cứu tạo ra được phần mềm giải mã, các webmaster được khuyến cáo sao lưu toàn bộ dữ liệu quan trọng và giữ an toàn trong trường hợp bị  tấn công.

THN