Bitdefender sparge criptarea primului virus ransomware pentru Linux

Bitdefender este primul furnizor de soluții de securitate IT care pune la dispoziția utilizatorilor un set de instrumente de decriptare pentru fișierele afectate de virusul ransomware ce rulează pe Linux, menite să readucă fișierele compromise la versiunea inițială.

Software-ul periculos a fost identificat pentru prima dată săptămâna trecută și vizează mai ales stațiile de lucru ale administratorilor de sistem din companii. Virusul denumit Linux.Encoder.1, primul ransomware care vizează sistemul de operare Linux, are un comportament similar cu CryptoWall, TorLocker și alte familii care acționează pe Windows.

Pachetul de instrumente furnizat de Bitdefender află codul de criptare prin analizarea fișierului și execută operațiunea de decriptare, urmată de repararea acestuia. Dacă sistemul de operare compromis de atac începe să boot-eze, descărcați și rulați scriptul de pe: https://labs.bitdefender.com/2015/11/linux-ransomware-debut-fails-on-predictable-encryption-key/.

În plus, experții în securitate ai Bitdefender recomandă utilizatorilor să țină cont de câteva sfaturi pentru a reduce riscul infectării cu ransomware:
–    Nu rulați aplicații care inspiră un grad redus de încredere. Acestea pot prezenta un risc de securitate imens și pot compromite integritatea datelor de pe terminalul dvs.
–    Asigurați-vă prin back-up datele de pe terminal, în cloud sau pe un dispozitiv extern.
–    Dacă dispozitivul care rulează un sistem de operare Linux aparține companiei, instalați o soluție de securitate precum Bitdefender Gravity Zone. O soluție antimalware blochează acest tip de amenințări înainte ca acestea să reușească să cripteze ireversibil fișierele.

Cum funcționează primul ransomware de Linux

Similar modului de acțiune din Windows, Linux.Encoder.1 folosește un algoritm de criptare simetrică (AES), care furnizează suficientă putere și viteză și păstrează resursele consumate la un nivel minim. Cheia simetrică este apoi criptată cu un algoritm de criptare asimetrică (RSA) și adăugată la începutul fișierului, alături de vectorul de inițializare folosit de AES. După ce fișierele au fost criptate, Trojan încearcă să cripteze conținutul fișierului rădăcină (/), evitând doar fișierele de sistem critice, pentru ca sistemul de operare să fie capabil să boot-eze din nou. În acel moment, utilizatorii sunt nevoiți să plătească o taxă pentru a intra în posesia codului RSA care îl decriptează pe cel AES. Cu toate acestea, o slăbiciune în modul în care virusul a fost programat a permis cercetătorilor Bitdefender să extragă codul AES fără să fie nevoiți să decripteze folosind codul RSA.