19 novembre 2015

La comparsa del pericoloso cryptolocker per SO Linux denominato il Linux.Encoder.1 ha scosso l'opinione pubblica mondiale — si è riscontrato che questa famiglia dei sistemi operativi che era sempre considerata resistente all'influenza dei programmi malevoli anche può essere infettata dai cryptolocker. Quello non è l'unico trojan — di recente sono stati scoperti almeno altri due campioni di questo gruppo dei cryptolocker. Gli specialisti Doctor Web sono pronti a condividere i risultati dell'analisi di uno di essi, denominato il Linux.Encoder.2.

Sebbene questo programma malevolo sia stato aggiunto ai database dei virus Dr.Web come il numero due, dal punto di vista del tempo era comparso prima del sopracitato trojan numero uno, ma rimaneva sconosciuto. Più precisamente: una delle aziende antivirus ha pubblicato uno studio di un altro trojan denominato il Linux.Encoder.0 — si ipotizza che sia il primo in questo gruppo dei cryptolocker, il Linux.Encoder.2 abbia cominciato a diffondersi più tardi a settembre-ottobre 2015 e solo dopo sia apparso il Linux.Encoder.1.

Tra le principali differenze del cryptolocker-2 rispetto al Linux.Encoder.1 va segnalato che utilizza un altro generatore dei numeri pseudo-casuali, impiega per la criptazione la libreria OpenSSL (anziché PolarSSL impiegata dal Linux.Encoder.1), esegue la criptazione nella modalità AES-OFB-128 con una re-inizializzazione del contesto ogni 128 byte, cioè tra 8 blocchi di AES. Il Linux.Encoder.2 ha anche una serie di altre differenze significative rispetto all'altra versione di questo cryptolocker.

Va segnalato inoltre che tutte le utility di decriptazione conosciute non eliminano lo script di shell sul server compromesso, di cui successivamente i malintenzionati potrebbero approfittarsi per re-infettare il sistema. Perciò gli specialisti del nostro servizio di supporto tecnico aiutano tutti gli utenti che si sono rivolti a Doctor Web per chiedere l'aiuto nella decriptazione dei file a ripulire il sistema dagli oggetti malevoli estranei e a proteggerlo contro eventuali futuri attacchi con utilizzo di questo script.

La firma antivirale di Linux.Encoder.2 è inclusa nei database dei virus di Antivirus Dr.Web per Linux. Gli specialisti Doctor Web hanno elaborato una tecnica per la decriptazione dei file danneggiati in seguito alle attività di questo programma malevolo. Se i vostri file sono stati resi non disponibili in seguito alla penetrazione del Linux.Encoder.2, eseguite le seguenti azioni:

• fate una relativa denuncia alla polizia;
• in nessun caso provate a modificare in qualche modo i contenuti delle cartelle con i file criptati;
• non eliminate alcun file sul server;
• non provate a ripristinare i file cifrati in modo autonomo;
• rivolgetevi al servizio di supporto tecnico Doctor Web (questo servizio è gratis per gli utenti delle licenze commerciali Dr.Web);
• allegate al ticket qualsiasi file criptato dal trojan;
• attendete una risposta di un tecnico del supporto; siccome abbiamo una grande quantità di richieste, l'attesa potrebbe richiedere un certo tempo.

Vi ricordiamo che i servizi di decriptazione file vengono forniti gratis soltanto ai titolari delle licenze commerciali dei prodotti antivirus Dr.Web. L'azienda Doctor Web non garantisce una completa decriptazione di tutti i file colpiti dall'attività del cryptolocker, però i nostri specialisti faranno ogni sforzo per salvare le informazioni criptate.