Ransomware (Fidye) Virüsleri Artık Linux’ta!

Fidye yazılarımları artık Linux sunucuları hedef alıp ağ yöneticilerine ödeme yapmaya zorluyor!

Kod Adı: Linux.Encoder.1

Ransomware, eskiye dayanan bir siber tehdit olmasından bu yana son birkaç yıldır sürekli olarak Windows kullanıcılarının canını etkin bir biçimde yakarak tehdit ciddiyetini kanıtlamıştır.

Kurbanın sabit disk ve/veya sunucunun içerisindeki tüm dosyaları en güçlü algoritmalar kullanarak şifreleyip (Encrypt) bir anahtar karşılığında (Private Key) çözmek (Decrypt) için (genellikle Bitcoin ödemek suretiyle) fidye talep etmekte.

Şu ana kadar siber suçlar; bilgisayarlar, akıllı telefonlar ve tabletleri hedef alma süreciyle olmaktayken fakat şu an aynı etkiyi popüler olarak fidye için son kullanıcıların dosyalarını şifreleyip açılmaz hale getirme yönüne kaydığını görmekteyiz.

Linux.Encoder.1 lakaplı bu yeni tarz fidye yazılımı Linux alt yapılı web siteleri, MySQL, Apache ve hedef site ile ilgili kök klasörleri hedef alarak dosyaları şifrelemektedir.
Dr.Web Rus antivirüs firması, Linux.Encoder.1 kod isimli virüsün enfekte olduğu dosyaların çözümü için 300 USD değerinde olan 1 BTC (Bitcoin) talep etmekte.

Linux için olan bu fidye yazılımı, Linux sunucuya web uygulamalarındaki bilinen güvenlik açıkları (SQL Injection, RCE gibi), CMS eklentilerinin zafiyetleri ve Linux’taki bilinen zafiyetleri (Shellshock gibi) kullanarak sisteme bulaşmaktadır.

Güvenlik araştırmacılarına göre, söz konusu fidye yazılımının etkili olabilmesi için root veya sistemi yönetebilecek yetkilere gereksinimi vardır.
Fidye yazılımı sisteme bulaşıp dosyaları şifreledikten sonra dolandırıcıların taleplerini içeren fidye mesajı ve RSA anahtarının (Public Key) bulunduğu bir mesajla karşılaşılır. Şifreleme algoritması olarak incelediğimiz kadarıyla AES kullanılmıştır. Fidye yazılımı her klasördeki dosyaya .encrypt uzantısı eklemektedir.

linux-ransomware

Fidye yazılımı; dizin keşfi için öncelikle bulaştığı kullanıcının yetkisi dahilindeki home, root, MySQL, Apache, svn, webapp, www, public_html veya backup dizin terimlerine yoğunlaşarak herhangi bir dizin de dahil olmak üzere dosyaları şifrelemektedir.

Ayrıca fidye yazılımı; .js, .css, .properties, .xml, .gz, .html, .php, .ruby ve .asp gibi web geliştirme ortamlarının yanı sıra diğer dosya uzantılarını da rar, .7z, .xls, .pdf, .doc, .avi, .mov, .png, .jpg hedef almaktadır.

 

Güvenlik araştırmacıları olarak Linux.Encoder.1 ile ilgili bir şifre çözme yazılımı (Decryption Tool) yapılana kadar ağ yöneticilerinin ve Linux sunucu kullanıcılarının konu hakkında önlemlerini almalarını ve izole bir ortamda günlük olarak çeşitli (Machine/VM Snaphot, Panel Backup, FTP Directories/Files, SQL) yedekleme yapmalarını tavsiye etmekteyiz.


HABERE EK:

BitDefender LABS’ın yaptığı çalışma sonucu fidyeci zararlı yazılımı şifreleme anahtarını üzerinde sakladığını tespit etmişler ve bununla ilgili şifre çözücü programı kullanıcılara sunmaktadır. Detayına buradan erişebilirsiniz: http://labs.bitdefender.com/2015/11/linux-ransomware-debut-fails-on-predictable-encryption-key/

 

Pin It

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Time limit is exhausted. Please reload CAPTCHA.