12 gennaio 2016

All'inizio del 2016 i pirati informatici hanno fatto un "regalo" agli utenti di Linux avendo lanciato una nuova versione del cryptolocker destinato a questo sistema operativo. La nuova versione, che è stata esaminata dagli specialisti Doctor Web e denominata Linux.Encoder.3, possiede diverse differenze significative rispetto alle versioni più vecchie.

A quanto pare, i malintenzionati hanno seguito i suggerimenti di una società antivirus che aveva specificato dettagliatamente gli errori commessi dagli autori nel codice di Linux.Encoder.1: gli errori sono stati prontamente corretti. Come nelle versioni precedenti di Linux.Encoder, questo campione penetra nella directory home di siti web utilizzando uno script shell, che i malintenzionati introducono nei vari sistemi di gestione dei contenuti sfruttando alcune vulnerabilità su cui attualmente non ci sono informazioni. Per il funzionamento il Linux.Encoder.3 non ha bisogno dei permessi di superutente Linux, il trojan si avvia con i privilegi del server web i quali gli bastano per criptare tutti i file nella directory home del sito. Per oggi all'azienda Doctor Web si sono già rivolti diversi proprietari di risorse Internet colpite dalle attività del Linux.Encoder.3.

Gli autori hanno modificato l'algoritmo crittografico utilizzato dal trojan (sulla base dei suggerimenti dell'azienda antivirus, come abbiamo menzionato sopra); è rimasta la stessa l'estensione dei file criptati, cioè .encrypted. Una differenza significativa rispetto alle versioni precedenti del cryptolocker è il fatto che il Linux.Encoder.3 è capace di memorizzare la data di creazione e di modifica del file originale e di sostituire la data con il valore memorizzato del file dopo la criptazione. Ciascuna copia del programma malevolo utilizza una propria chiave di crittografica unica, creata in base alle caratteristiche dei file cifrati e ai valori generati in modo casuale.

Una serie di caratteristiche di architettura di Linux.Encoder.3 rende possibile la decifratura dei file corrotti a seguito delle attività di questo programma malevolo. Tuttavia, siccome l'azienda antivirus sopramenzionata ha nuovamente pubblicato un'analisi del trojan che descrive dettagliatamente gli ulteriori punti di debolezza del malware, i malintenzionati potrebbero approfittarsi di queste informazioni per aggiornare il cryptolocker. Tra poco con molta probabilità comparirà una successiva versione di Linux.Encoder, modificata per ostacolare la decriptazione di file corrotti da questo programma malevolo.

Se i vostri file sono stati resi non disponibili in seguito alla penetrazione del Linux.Encoder.3, eseguite le seguenti azioni:

• fate una relativa denuncia alla polizia;
• in nessun caso provate a modificare in qualche modo i contenuti delle cartelle con i file criptati;
• non eliminate alcun file sul server;
• non provate a ripristinare i file cifrati in modo autonomo;
• rivolgetevi al servizio di supporto tecnico Doctor Web (questo servizio è gratis per gli utenti delle licenze commerciali Dr.Web);
• allegate al ticket qualsiasi file criptato dal trojan;
• attendete una risposta di un tecnico del supporto; siccome abbiamo una grande quantità di richieste, l'attesa potrebbe richiedere un certo tempo.

Vi ricordiamo che i servizi di decriptazione di file vengono forniti soltanto ai titolari delle licenze commerciali dei prodotti antivirus Dr.Web. L'azienda Doctor Web non dà una completa garanzia di decriptazione di tutti i file colpiti dalle attività del cryptolocker, però i nostri specialisti faranno ogni sforzo per ripristinare le informazioni criptate.