Linux.Encoder.1 y la esperanza de recuperar tus ficheros
Linux.Encoder.1 es un ransomware (malware que “rapta”/encripta tus ficheros y que chantajea de forma económica típicamente si quieres recuperar tus datos) que está siendo noticia últimamente. No porque este tipo de malware sea nuevo, sino porque parece ser que es el primero (que se sepa hasta la fecha) que ataca sistemas Linux.
Éste concretamente se aprovecha de una vulnerabilidad en Magento, un carrito de la compra electrónico. Una vez dentro de tu sistema, Linux.Encoder.1 busca los directorios /home, /root y/var/lib/mysql, y encripta su contenido usando AES, un algoritmo de clave simétrica. Dicha clave luego es encriptada con RSA. Una vez hecho esto, el malware empieza a encriptar el directprio raíz (/), excluyendo algunos ficheros críticos.
La “buena” noticia es que Bitdefender, después de hacer ingeniería inversa a dicho espécimen, ha encontrado que la clave AES es generada localmente pasando como semilla la fechar y hora actual del sistema a la función rand() de la librería libc. Dicha semilla puede ser fácilmente encontrada mirando la fecha y hora de los ficheros encriptados, con lo que, afortunadamente, supone un gran fallo en el diseño del malware. De hecho Bitdefender a creado una utilidad capaz de desencriptar dichos ficheros.
Espero que si alguno de vosotros se ha visto afectado, dicha utilidad os sea de utilidad, valga la redundancia :) y que sirva de lección para aprender: hacer copias de seguridad diarias, mantener tus sistemas parcheados, etc, etc
Buscar
Entradas Recientes
- Posts
- Reemplazando la bateria del AirTag
- OpenExpo Europe décima edición, 18 de mayo: El Epicentro de la Innovación y la Transformación Digital
- Docker Init
- Kubernetes para profesionales
- Agenda: OpenExpo Europe 2022 llega el 30 de junio en formato presencial
- Libro 'Manual de la Resilencia', de Alejandro Corletti, toda una referencia para la gestión de la seguridad en nuestros sistemas
- Mujeres hackers en ElevenPaths Radio
- Creando certificados X.509 caducados
- Generador de imágenes Docker para infosec