Linux-шифрувальник вразив більше 2000 веб-сайтів
«Доктор Веб» розкрив додаткові деталі про шкідливу програму Linux.Encoder.1, про появу якої стало відомо на початку поточного місяця.
Вірус вражає комп’ютери під управлінням операційних систем Linux. Його основне призначення – шифрування файлів з метою подальшого отримання викупу за відновлення доступу до них.
Аналіз показав, що основними мішенями трояна стали розміщені на Linux-серверах веб-сайти, що працюють з використанням різних систем управління контентом (Content Management Systems, CMS) – зокрема WordPress, а також популярного програмного комплексу для організації інтернет-магазинів Magento CMS. Для атаки використовується не встановлена поки уразливість.
Отримавши несанкціонований доступ до сайту, кіберзлочинці розміщують на ньому файл error.php. Він грає роль шелл-скрипта і дозволяє зловмисникам виконувати різні несанкціоновані дії.
Оскільки вірус запускається з правами вбудованого користувача www-data (тобто з правами додатку, що працює від імені веб-сервера Apache), цих привілеїв цілком достатньо, щоб зашифрувати файли в папках, для яких у даного вбудованого користувача є права на запис, – іншими словами, там, де зберігаються файли і компоненти «движка» веб-сайту. Якщо з яких-небудь причин у шифрувальника виявляться більш високі привілеї, він не обмежиться однією лише папкою веб-сервера.
Станом на 12 листопада шифрувальник атакував понад 2000 сайтів в Інтернеті. Для відновлення доступу до закодованих даних жертві пропонується заплатити кілька сотень доларів США криптовалютою Bitcoin.
За матеріалами: 3dnews.ru
Поділитися новиною