Discussion :

[Victor Vincent]

Le rançongiciel Linux.Encoder.1 a maintenant infecté des milliers de sites web
et continue de prendre de l’ampleur d’après Doctor Web

D’après la société de sécurité Doctor Web, plus de 2000 sites web ont déjà été affectés par le rançongiciel Linux.Encoder.1 dont la première attaque a été découverte par la société de sécurité il y’a un peu plus d’une semaine. La société rapportait alors quelques dizaines de cas causés par le virus. Cependant, en l’espace de quelques jours seulement le rançongiciel aurait atteint plus d’un millier de sites web. L’estimation est basée sur le nombre de recherches concernant le fichier README_FOR_DECRYPT.txt qui est le fichier contenant les instructions permettant de décrypter les fichiers d’un ordinateur atteint moyennant le paiement d’un bitcoin.

D’après Doctor Web, Linux.Encoder.1 serait en train d’exploiter une vulnérabilité du CMS Magento pour infecter les serveurs Linux. Une autre remarque faite par la société de sécurité est le fait que les pirates n’auraient pas besoin de privilèges d’administrateur pour atteindre un serveur web pour lui transmettre le virus. Cela fait du virus une menace assez sérieuse pour les ressources sur internet du fait que plusieurs CMS présentent des vulnérabilités similaires et que certains webmasters n’appliquent pas toujours les dernières mises à jour des CMS a noté Doctor Web.

Source : Doctor Web

Et vous ?

Que pensez-vous de Linux.Encoder.1 ?

Voir aussi

la rubrique Sécurité (Cours, Tutoriels, FAQ, etc.)

[MikeRowSoft]

Expliqué comme sa je me demande si il n'y a pas un point commun autre que Linux?
Ou bien, au détails, se qui a ou ont permis l'accès supposés.

[BufferBob]

oh ben c'est dommage, j'aurai bien vu cette news à la suite de la précédente, celle où on prend x10 en disant que ceux qui se font avoir sont des admins incompétents pour exécuter un binaire en root sans se poser de questions

eh ben de mon point de vue, ça montre bien où en est le quidam, le dev moyen, avec la sécurité voyeeez.

[Gecko]

Pour ma part le plus gros problème reste l'accès aux correctifs.

Quand on vois que certains éditeurs vendent leurs plugins 900$ et demandent un supplément pour avoir accès aux mises à jour il ne faut pas s'étonner d'avoir ce genre de désagréments...

Sans compter le prix du maintien d'un site sous Magento qui demande beaucoup de travaille, et si vous rajoutez le prix de la licence entreprise à plus de 10.000$ bah... Vous devenez une victime potentielle, parce que sincèrement je connais très peu de boites qui acceptent de renouveler un contrat de plus de 25k$ minimum pour maintenir leur site à jour.

Pour moi l'utilisation de CMS payants est de facto une erreur de débutant.

[MightyJean]

D'après ce que j'ai lu par ici (et si ça n'a pas été corrigé depuis), ce ransomware a une petite faille qui permettrait de récupérer ses données sans devoir payer : la clé AES est générée localement sur la machine de la victime en utilisant la fonction rand() de la libc, en utilisant le timestamp au moment du chiffrement comme graine. Or ce timestamp se retrouve facilement et si j'ai bien compris il est du coup possible de récupérer la clé AES sans utiliser la clé publique RSA vendue par ceux qui ont conçu cette saleté.
'Fin bon après j'ai pas essayé et mes connaissances sur le sujet sont assez limitées mais ça semble avoir déjà été évoqué dans l'autre news dans un commentaire noyé dans la masse.

[acx01b]

D'après ce que j'ai lu par ici (et si ça n'a pas été corrigé depuis), ce ransomware a une petite faille qui permettrait de récupérer ses données sans devoir payer : la clé AES est générée localement sur la machine de la victime en utilisant la fonction rand() de la libc, en utilisant le timestamp au moment du chiffrement comme graine. Or ce timestamp se retrouve facilement et si j'ai bien compris il est du coup possible de récupérer la clé AES sans utiliser la clé publique RSA vendue par ceux qui ont conçu cette saleté.
'Fin bon après j'ai pas essayé et mes connaissances sur le sujet sont assez limitées mais ça semble avoir déjà été évoqué dans l'autre news dans un commentaire noyé dans la masse.

oui http://labs.bitdefender.com/2015/11/...ncryption-key/
mais vu les commentaires ça a l'air pas évident

[Chauve souris]

[MODE TROLL]
Qui sait qui disait qu'il n'y avait pas de malware sous Linux et que les neuneux ne pouvaient être que windowiens ?
[/MOBE TROLL]

Propos juste destiné à augmenter ma collection de pouces rouges...

[ddrmax]

déjà au courant de la semaine dernière j'avais émis l’hypothèse qui est énuméré dans cet article alors que les autres se contenaient limite de jeter des tomates pourries sur les sysadmins car de base je trouvait louche que seul le dossier www était impacté si le virus se lançais bien en root. Le coup du virus lancé en user-side répondait bien mieux a la problématique ainsi que pour la méthode d'infection qui était plus réaliste qu'une grossière erreur d'execuion d'un programme inconnu par un sysadmin

[mhtrinh]

C'est moi ou ...
- Dr Web a decouvert ce virus.
- Dr Web fait viral cette news
- Dr Web offre un service payant pour decrypter ce qui a ete encrypte ?

En gros, ce "virus" c'est juste un faille de certains CMS ou quelqu'un arrive a injecter du code php sur ton site ? Une fois que tu peux injecter du code Php, ben ... tu fais ce que tu veux non ?

Ca n'a rien avoir avec Linux ! Ou juste parce que la plupart des sites tournent sous Linux ? Le mot "Linux" est juste un pretexte pour buzzer !

[ddrmax]

C'est moi ou ...
- Dr Web a decouvert ce virus.
- Dr Web fait viral cette news
- Dr Web offre un service payant pour decrypter ce qui a ete encrypte ?

En gros, ce "virus" c'est juste un faille de certains CMS ou quelqu'un arrive a injecter du code php sur ton site ? Une fois que tu peux injecter du code Php, ben ... tu fais ce que tu veux non ?

Ca n'a rien avoir avec Linux ! Ou juste parce que la plupart des sites tournent sous Linux ? Le mot "Linux" est juste un pretexte pour buzzer !

De toute façon ce virus n'a pas de système d'exploitation cible vu que tout système capable d'embarquer un serveur PHP est vulnérable si il contient un cms basé sur magento (on ma dit que joomla et d'autres cms ont une base magento donc potentiellement des cibles)
Il est vrai que le virus aurait du s'appeler PHP.Encoder.1 au lieu de linux.Encoder.1

[BufferBob]

De toute façon ce virus n'a pas de système d'exploitation cible vu que tout système capable d'embarquer un serveur PHP est vulnérable si il contient un cms basé sur magento (on ma dit que joomla et d'autres cms ont une base magento donc potentiellement des cibles)
Il est vrai que le virus aurait du s'appeler PHP.Encoder.1 au lieu de linux.Encoder.1

on nous dit dans la description qu'il est écrit en C, donc déjà ça n'est plus spécifique PHP, d'autre part le binaire est forcément un ELF, donc spécifique Linux

[nguegor]

ça ne veut rien dire LINUX reste le mettre dans la sécurité système (une œuvre humaine n'est jamais parfaite)

[nguegor]

ça ne veut rien dire LINUX reste le maître(le chef) dans la sécurité système (une œuvre humaine n'est jamais parfaite)

[saigone]

Le ransomware Linux.Encoder.1 peut être neutralisé
grâce à un script de Bitdefender

La société de sécurité Doctor Web indiquait récemment que des milliers de sites avaient été infectés par le ransomware Linux.Encoder.1, une semaine environ après la découverte de la première attaque comme illustré dans cet article. Les cibles devaient donc payer une rançon au ravisseur pour la récupération des données. Pour rappel un ransomware est un logiciel malveillant qui effectue une « prise d’otages » de vos données en les chiffrant grâce à une clé de chiffrement AES générée aléatoirement. La force de cette attaque réside dans le fait que la clé de chiffrement symétrique créée grâce à l’algorithme de chiffrement symétrique (AES) est ensuite chiffrée grâce à l’algorithme de chiffrement asymétrique (RSA) ; ce qui rend quasiment impossible la récupération de données sans la clé privée RSA détenue par les attaquants.

Coup de chance ou amateurisme du ravisseur : les chercheurs de la société de sécurité logicielle Bitdefender ont décelé une erreur dans le ransomware après avoir étudié de près le logiciel malveillant. Cette erreur leur a permis de déchiffrer les dossiers victimes de chiffrement sans avoir besoin de la clé privée RSA nécessaire pour le déchiffrement. Lors de l’attaque, la clé AES est générée localement sur la machine attaquée. Ils ont donc examiné la façon dont la clé et le vecteur d’initialisation étaient générés par reverse-engineering de l'échantillon Linux.Encoder.1. Ils ont réalisé qu’au lieu de générer des clés aléatoires sécurisées et le vecteur d’initialisation, le ransomware récupérait ces deux éléments d'information de la fonction rand libc () propagés avec l'horodatage du système au moment du cryptage. Cette information peut être facilement récupérée en regardant le fichier d’horodatage. Ceci est un énorme défaut de conception qui permet la récupération de la clé AES sans avoir à décrypter avec la clé privée RSA, a souligné l’équipe de recherche de Bitdefender.

L’équipe de Bitdefender a mis à disposition de toutes les victimes un outil qui permet de déchiffrer leurs données par simple analyse et par la même occasion résoudre le problème de permission. Il suggère de redémarrer la machine victime et, après avoir téléchargé l’outil, l’exécuter en mode root. Ci-dessous les étapes pour récupérer les données :

• télécharger le script (outil) sur le site LAB de Bitdefender ;

• monter la partition et chiffrer en utilisant la commande : mount /dev/[partition_chiffrée] ;

• générer une liste de fichiers chiffrés à l’aide de la précédente commande : /mnt# sort_files.sh encrypted_partition > sorted_list ;

• exécuter l’outil de déchiffrement afin d’obtenir les informations de chiffrement : /mnt# python decrypter.py –f [premier_fichier] ;

• déchiffrer les fichiers à l’aide des informations obtenues : /mnt# python /tmp/new/decrypter.py -s [timestamp] -l sorted_list.

Tenant compte de la complexité de la procédure, Bitdefender a mis à disposition des victimes un service d’assistance pour tout besoin d’aide. Au vu de la recrudescence des attaques via un ransomware, il est important de redoubler de vigilance.

Source: Lab Bitdefender, Lien Script Bitdefender

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Forum Sécurité