Un ransomware Linux si rifiuta di estorcere denaro agli utenti dei paesi ex-URSS

I ricercatori di Malwarebytes hanno individuato una nuova variante del primo cryptoblocker della storia destinato a GNU/Linux. Il nuovo arrivato, tuttavia, si premura di presentare le proprie scuse agli abitanti dei paesi che, un tempo, facevano parte dell’Unione Sovietica, dichiarandosi pronto a decifrare in forma gratuita i file appartenenti agli utenti ubicati in tali aree geografiche.

Ricordiamo, con l’occasione, che il suddetto malware crittografico, battezzato Linux.Encoder dai colleghi di Dr.Web (i prodotti Kaspersky Lab rilevano lo stesso come Ransom.Linux.Cryptor e Trojan-Ransom.FreeBSD.Cryptor), è apparso sui radar delle società antivirus all’inizio dello scorso mese di novembre. Esso viene eseguito con diritti di amministratore, ed effettua le operazioni di codifica dei file dell’utente-vittima allo stesso modo di numerosi altri “confratelli”, progettati per colpire l’OS Windows: il file viene inizialmente criptato tramite una chiave AES-128 generata sul momento, e riceve l’estensione .encrypted; in seguito, la chiave di cifratura viene a sua volta codificata in base ad un algoritmo RSA. La chiave RSA privata viene custodita dai malintenzionati, per poi essere messa in circolazione (per la relativa decodifica) soltanto ad avvenuto pagamento del riscatto richiesto.

Attualmente, gli analisti di virus distinguono tre diverse versioni del ransomware Linux.Encoder: le versioni 1 e 2, individuate da Dr.Web, e la versione originale (0), che risale al mese di agosto, la quale è stata a suo tempo analizzata da Bitdefender. Il blocker Linux.Encoder.2, secondo Dr. Web, si distingue dalla sua prima versione per il fatto che ricorre all’utilizzo di un altro generatore di numeri pseudo-casuali; inoltre, la versione 2 del malware crittografico qui esaminato, per compiere le operazioni di codifica, fa uso di un’altra libreria: si tratta di OpenSSL, e non di PolarSSL, come avveniva in precedenza.

Il sample rilevato più tardi da Malwarebytes, si contraddistingue per la presenza di un passaggio in lingua russa all’interno del relativo messaggio in inglese contenente la richiesta di pagamento del riscatto. Nella circostanza, gli estorsori presentano le proprie scuse agli abitanti della Russia e dei paesi che fanno parte della Comunità degli Stati Indipendenti (CSI), dichiarando di essere pronti a decodificare gratuitamente i file criptati dal malware in questione. Per ottenere quanto promesso è sufficiente, per gli utenti-vittima, inviare un’e-mail all’indirizzo di posta elettronica indicato nel messaggio:

linux_ransom

(fonte: Malwarebytes; vedi post pubblicato su Help Net Security)

L’unico metodo sinora osservato dagli esperti, per ciò che riguarda la diffusione di Linux.Encoder, è rappresentato dall’utilizzo di determinate vulnerabilità rilevate nelle popolari piattaforme CMS (Content Management System) WordPress e Magento. Secondo le statistiche rese note da Dr. Web, già alla metà del mese di novembre il nuovo cryptoblocker era riuscito ad infettare oltre 2.900 macchine Linux; intanto, il numero delle vittime continua ad aumentare, così come gli appetiti degli estorsori. Inizialmente, per procedere alla decodifica dei file cifrati, questi ultimi esigevano il pagamento di 50 dollari in bitcoin; adesso, la cifra in questione può raggiungere i 500 dollari, e addirittura spingersi, in certi casi, sino a 999 dollari.

In conclusione, è opportuno segnalare che gli esperti di Bitdefender hanno rilevato un errore “catastrofico”, da parte dei malintenzionati, riguardo all’implementazione del generatore di chiavi AES di cui è provvisto il malware Linux.Encoder: tali chiavi vengono in effetti create in base al timestamp del preciso momento in cui viene eseguita l’operazione di codifica. Tale “difetto” ha permesso agli esperti di elaborare un apposito script di decodifica, al quale non occorre la chiave privata RSA; lo strumento di “salvataggio”, aggiornato a seconda della specifica evoluzione del malware, viene offerto gratuitamente alle vittime di Linux.Encoder. La società Dr. Web è ugualmente disposta a fornire l’aiuto necessario per la decodifica dei file criptati, ma solo ai propri clienti.

Fonte: Net Help Security

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *