Un rançongiciel Linux s’attaque aux webmasters

**Victor Vincent** · 07/11/2015, 22h33

Un rançongiciel Linux s’attaque aux webmasters,
en chiffrant les données des répertoires contenant les pages web

Un nouveau rançongiciel s’attaque aux machines Linux et cible en particulier les dossiers contenant les pages web. Le procédé du logiciel malveillant appelé Linux.Encoder est simple. Le rançongiciel crypte les répertoires de MySQL, Apache ainsi que le répertoire home/root. Le système demande alors de payer un seul bitcoin pour déverrouiller les fichiers.

Nom : Screen Shot 2015-11-07 at 20.18.19.png
Affichages : 12706
Taille : 156,7 Ko

Une fois que la rançon est payée, le système reçoit une instruction lui faisant parcourir les répertoires pour déchiffrer leurs contenus. Pour s’exécuter, la ransomware a besoin des privilèges d’administrateur et éventuellement d'une autorisation de la part d’un administrateur système pour qu’un tel programme puisse s’exécuter sans restriction. Selon le site drweb.com, une fois que le rançongiciel est lancé avec les privilèges d’administrateur, le logiciel télécharge le contenu des dossiers ciblés et crée un ficher contenant le lien vers une clé RSA publique. Le rançongiciel commence alors à supprimer les fichiers originaux et la clé RSA est utilisée pour générer une clé AES qui sera utilisée pour chiffrer les fichiers sur l’ordinateur infecté.

Source : Dr.WEB

Et vous ?

Que pensez-vous de ce rançongiciel ?

Voir aussi

le forum Sécurité

la rubrique Systèmes (Cours, Tutoriels, FAQ, etc.)

**BufferBob** · 07/11/2015, 23h58

bon, c'est pas très constructif mais je ne peux m'empêcher de glousser en pensant aux innombrables posts de connaisseurs que j'ai pu lire "Windows, les antivirus, antimalwares etc... moi j'ai mon Linux

"

**earhater** · 08/11/2015, 08h11

Ouais enfin pour le coup c'est vraiment l'art de télécharger un virus et de l’exécuter en tant qu'administrateur ... C'est comme avoir une icône VIRUS et cliquer dessus.

**herzleid** · 08/11/2015, 08h27

Envoyé par BufferBob

bon, c'est pas très constructif mais je ne peux m'empêcher de glousser en pensant aux innombrables posts de connaisseurs que j'ai pu lire "Windows, les antivirus, antimalwares etc... moi j'ai mon Linux

"

Le problème est là, c'est pas très constructif.

Combien de machines touchées (dans le parc linux) ? Car si c'est 10, je vois pas ou est le problème.

Qui télécharge un binaire, lui donne des droits d'exécution et l'exécute en tant que root, sans se poser la question de la légitimité de ses actions ? Dans ces conditions autant qu'il retourne sous windows ;-)

A la limite, c'est bien fait pour celui qui l'exécute ! Je reste sous mon linux, je suis bien moins embeter que les copains sous windows

;-)

**TiranusKBX** · 08/11/2015, 08h58

il faudrait préciser le mode de diffusion
Personnellement par le passé j'ai fait un programme du même genre en ... 2009

**Squisqui** · 08/11/2015, 10h08

Envoyé par herzleid

Qui télécharge un binaire, lui donne des droits d'exécution et l'exécute en tant que root, sans se poser la question de la légitimité de ses actions ? Dans ces conditions autant qu'il retourne sous windows ;-)

A la limite, c'est bien fait pour celui qui l'exécute ! Je reste sous mon linux, je suis bien moins embeter que les copains sous windows

;-)

Et le tout sur une machine en prod' sans back up. Arrivé à ce point, ceux qui se sont fait avoir devrait simplement abandonner l'administration système.

**dclicdepannage** · 08/11/2015, 10h39

Attention a ne pas télécharger le rançongiciel , ne pas lui donné les droit administrateurs et ne pas l’exécuter. Attention les virus arrive sur linux

MikeRowSoft · 08/11/2015, 11h04

Etrange

, ils ont mis du presque pour des applications comme Apple iTunes au niveau du "dossier de stockage" des pages web, je devrais même faire allusion au "block" de la table de partition du support de stockage.
Peuvent-ils être accuser de complicité à dissimulation de virus si celui qui l'a conçu l'a fait stocker à cette endroit?

**mikedafunk** · 08/11/2015, 12h37

@BufferBob : Ici ce n'est pas un virus mais un rançongiciel "Belge"

Après la connerie dépasse les frontières des OS aussi

**Max Lothaire** · 08/11/2015, 12h47

Comment ce programme c'est retrouvé sur les serveurs des victimes ?

**BufferBob** · 08/11/2015, 13h06

Envoyé par herzleid

Le problème est là, c'est pas très constructif.

mais non mais non, le problème est ailleurs, dans le fait que tu t'es senti visé et/ou que tu voulais troller

et du coup tu as répondu par un mélange de non-constructif ET non-pertinent :

Combien de machines touchées (dans le parc linux) ? Car si c'est 10, je vois pas ou est le problème.

dans le fait qu'un malware se propage peut-être ?

Qui télécharge un binaire, lui donne des droits d'exécution et l'exécute en tant que root, sans se poser la question de la légitimité de ses actions ?

probablement les mêmes qui ne comprennent pas qu'un malware se débrouille très bien tout seul pour passer root, en exploitant un binaire suid, un bug kernel, en s'échappant d'une VM, voire même en bruteforçant le ssh root laissé ouvert etc.

Dans ces conditions autant qu'il retourne sous windows ;-)
Je reste sous mon linux, je suis bien moins embeter que les copains sous windows

;-)

aucune leçon à recevoir d'un troll fier de lui donc

quant au "bien fait pour lui, le sysadm qui ne mérite plus de l'être" c'est oublier que -justement- tous les utilisateurs de Linux ne sont pas des professionnels expérimentés, un peu comme sous Windows finalement, ce qui revient à dire "tant mieux pour ceux qui connaissent l'informatique et bien fait pour les autres" ? comme c'est charmant

mais vu la pertinence technique des réponses vous pourriez bien en faire partie un jour ou l'autre

bonjour, je suis un malware discret, tu peux me filer les droits root stp ?

**Kdence** · 08/11/2015, 14h18

Arrêtez de croire que vous êtes protéger de tout sur linux et mac. Si pendant longtemps ces os n'intéressaient pas les gens malveillants c'était à cause de leur faible part de marché, pas grâce à leur sécurité... Mais ce temps est révolu! Aujourd'hui de plus en plus de gens opte pour linux (ou mac) et du coup les hackers commencent a s'y intéressé de plus en plus.

**23JFK** · 08/11/2015, 15h19

Le seul ordinateur qui a dû être infecté c'est celui du développeur du ransomware.

**benjani13** · 08/11/2015, 16h16

Envoyé par BufferBob

bon, c'est pas très constructif mais je ne peux m'empêcher

Tu aurais pourtant du.

Envoyé par Kdence

Arrêtez de croire que vous êtes protéger de tout sur linux et mac. Si pendant longtemps ces os n'intéressaient pas les gens malveillants c'était à cause de leur faible part de marché, pas grâce à leur sécurité... Mais ce temps est révolu! Aujourd'hui de plus en plus de gens opte pour linux (ou mac) et du coup les hackers commencent a s'y intéressé de plus en plus.

Thank you captain obvious!

Envoyé par herzleid

Je reste sous mon linux, je suis bien moins embeter que les copains sous windows

;-)

J'utilise autant l'un que l'autre, aucun virus ni sur l'un ni sur l'autre. Le problème ne se situe pas dans l'OS mais entre la chaise et le clavier.

**BufferBob** · 08/11/2015, 17h18

Envoyé par benjani13

Tu aurais pourtant du.

non ben j'assume, pour ça comme pour le reste je suis contre le droit à l'oubli, ça favorise trop les retours aux mêmes schémas, donc je maintiens; à tous les pseudo-intégristes pro-Linux, cette news devrait vous faire cogiter un peu... ou pas malheureusement

je précise qu'il m'est arrivé de tenir le même discours côté Windozeux (il y a pas si longtemps d'ailleurs) et que j'ai eu rigoureusement le même genre de réactions, à croire qu'il faut choisir son camp et que le juste milieu est tabou

Envoyé par benjani13

Thank you captain obvious!

faut croire que ça n'est pas si évident que ça manifestement, suffit de lire le début de la discussion...

**Pierre Louis Chevalier** · 08/11/2015, 17h48

Je ne connaissait pas ce mot "rançongiciel" (donc traduction de ransomware) c'est bien trouvé pour une fois, j'adore

**abriotde** · 08/11/2015, 18h07

Tout a fai d accord avec BufferBot. Tout l monde peut se fire avoir car si au départ un malware peut exploiter la naîveté, tôt ou tard il se perfectionne et je doute qu il soit simple de l'éviter. Ce que l on peut dire c est qu il faut toujours des backup. Et si l on est sous Linux c est avant tout pour sa transparence dans tous les sens du terme. La sécurité étnt meilleur par mhilosophie car on est pas root par défaut, et surtout la moindre faill est vite public et donc on peux avoir conscience de la nécécité des mise a jour et surtout elle sont vite corrigé. C est beaucoup moins vrai sur windows et encore moins sous Apple ou Abode flash...

MikeRowSoft · 08/11/2015, 21h02

Envoyé par Kdence

Arrêtez de croire que vous êtes protéger de tout sur linux et mac. Si pendant longtemps ces os n'intéressaient pas les gens malveillants c'était à cause de leur faible part de marché, pas grâce à leur sécurité... Mais ce temps est révolu! Aujourd'hui de plus en plus de gens opte pour linux (ou mac) et du coup les hackers commencent a s'y intéressé de plus en plus.

Bien! J'aime beaucoup le sens de se commentaire. Mais de quels hackers (fouineur) parle tu?

Je sais qu'il y a des personnes qui en ont fait leurs métier. Ceci pour de multiple raison, comme un administrateur système qui s'en va d'une entreprise avec discorde mais que la décision de justice ne justifie pas le fait que celui-ci doit donner les "mot de passes" car il ne travail plus pour l'entreprise et ainsi à tout oublié. Donc l'entreprise est donc contrainte de se payer les services d'un hacker (fouineur).

Oui, là il est très perceptible que le fait de fouiner n'aide pas trop quand il s'agit d'avoir des actions... Puisque se mot, fouineur, se rapproche d'inspection (la crédibilité n'est pas toujours au rendez-vous dans certains cas

).