TOOLinux

Le journal du Libre

Un script pour contrer Linux.Encoder.1

mercredi 11 novembre 2015

On vous en parlait ce 9 novembre. Baptisé Linux.Encoder.1, un malware vise spécifiquement les serveurs web fonctionnant sous GNU/Linux.

L’éditeur Bitdefender a développé un outil gratuit destiné aux utilisateurs pour contourner le chiffrement. Cet outil restaure automatiquement les fichiers infectés à leur état d’origine.

Que se passe-t-il en réalité ?

« Linux.Encoder.1 » chiffre les dossiers de MySQL, Apache ainsi que les dossiers /home et /root. Puis il demande une rançon en bitcoin pour pouvoir les décrypter. A l’aide d’une clé RSA, il stocke une clé AES pour chiffrer les données. Il parcourt l’arborescence du système à la recherche de fichiers relatifs à l’administration d’un serveur web Apache, ainsi que d’une base de données MySQL.

Le remède

L’outil détermine les vecteurs d’initialisation (IV) et la clé de chiffrement simplement en analysant le fichier, exécute ensuite le déchiffrement, puis répare les permissions. Si l’utilisateur peut démarrer son système d’exploitation compromis, il est invité à télécharger le script et à l’exécuter sous l’utilisateur root.

Pour tout savoir, rendez-vous sur le blog de l’éditeur Bitdefender.