Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

Nel nuovo anno c'è un nuovo cryptolocker per Linux

12 gennaio 2016

All'inizio del 2016 i pirati informatici hanno fatto un "regalo" agli utenti di Linux avendo lanciato una nuova versione del cryptolocker destinato a questo sistema operativo. La nuova versione, che è stata esaminata dagli specialisti Doctor Web e denominata Linux.Encoder.3, possiede diverse differenze significative rispetto alle versioni più vecchie.

A quanto pare, i malintenzionati hanno seguito i suggerimenti di una società antivirus che aveva specificato dettagliatamente gli errori commessi dagli autori nel codice di Linux.Encoder.1: gli errori sono stati prontamente corretti. Come nelle versioni precedenti di Linux.Encoder, questo campione penetra nella directory home di siti web utilizzando uno script shell, che i malintenzionati introducono nei vari sistemi di gestione dei contenuti sfruttando alcune vulnerabilità su cui attualmente non ci sono informazioni. Per il funzionamento il Linux.Encoder.3 non ha bisogno dei permessi di superutente Linux, il trojan si avvia con i privilegi del server web i quali gli bastano per criptare tutti i file nella directory home del sito. Per oggi all'azienda Doctor Web si sono già rivolti diversi proprietari di risorse Internet colpite dalle attività del Linux.Encoder.3.

Gli autori hanno modificato l'algoritmo crittografico utilizzato dal trojan (sulla base dei suggerimenti dell'azienda antivirus, come abbiamo menzionato sopra); è rimasta la stessa l'estensione dei file criptati, cioè .encrypted. Una differenza significativa rispetto alle versioni precedenti del cryptolocker è il fatto che il Linux.Encoder.3 è capace di memorizzare la data di creazione e di modifica del file originale e di sostituire la data con il valore memorizzato del file dopo la criptazione. Ciascuna copia del programma malevolo utilizza una propria chiave di crittografica unica, creata in base alle caratteristiche dei file cifrati e ai valori generati in modo casuale.

Una serie di caratteristiche di architettura di Linux.Encoder.3 rende possibile la decifratura dei file corrotti a seguito delle attività di questo programma malevolo. Tuttavia, siccome l'azienda antivirus sopramenzionata ha nuovamente pubblicato un'analisi del trojan che descrive dettagliatamente gli ulteriori punti di debolezza del malware, i malintenzionati potrebbero approfittarsi di queste informazioni per aggiornare il cryptolocker. Tra poco con molta probabilità comparirà una successiva versione di Linux.Encoder, modificata per ostacolare la decriptazione di file corrotti da questo programma malevolo.

Se i vostri file sono stati resi non disponibili in seguito alla penetrazione del Linux.Encoder.3, eseguite le seguenti azioni:

  • fate una relativa denuncia alla polizia;
  • in nessun caso provate a modificare in qualche modo i contenuti delle cartelle con i file criptati;
  • non eliminate alcun file sul server;
  • non provate a ripristinare i file cifrati in modo autonomo;
  • rivolgetevi al servizio di supporto tecnico Doctor Web (questo servizio è gratis per gli utenti delle licenze commerciali Dr.Web);
  • allegate al ticket qualsiasi file criptato dal trojan;
  • attendete una risposta di un tecnico del supporto; siccome abbiamo una grande quantità di richieste, l'attesa potrebbe richiedere un certo tempo.

Vi ricordiamo che i servizi di decriptazione di file vengono forniti soltanto ai titolari delle licenze commerciali dei prodotti antivirus Dr.Web. L'azienda Doctor Web non dà una completa garanzia di decriptazione di tutti i file colpiti dalle attività del cryptolocker, però i nostri specialisti faranno ogni sforzo per ripristinare le informazioni criptate.

La tua opinione conta per noi

Per ogni commento viene accreditato 1 punto Dr.Web. Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web

Esperienza di sviluppo dal 1992

Dr.Web viene utilizzato in 200+ paesi del mondo

L'antivirus viene fornito come un servizio dal 2007

Supporto ventiquattro ore su ventiquattro

© Doctor Web
2003 — 2020

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125040, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A