Les utilisateurs de Linux et les administrateurs sont invités à être vigilants nouvelles ont éclaté d'un ransomware dangereux de les cibler. Il est appelé le ransomware chanceux et il est déployé dans une campagne d'attaque globale avec le comportement des fichiers chiffrement typique comme les nombreuses variantes connues pour Windows. La menace peut infecter automatiquement d'autres hôtes et donc abattre des réseaux entiers en peu de temps.
Ransomware chanceux Agit comme “Satan” Pour Windows
Le ransomware chanceux est la nouvelle menace ciblant les serveurs Linux, a été publiée dans les détails au sujet de son déclenchement d'une annonce par une équipe de chercheurs. Les experts notent qu'il suit de près le comportement des menaces basées sur Windows de ce type. La campagne d'attaque en cours montre que cette pratique réussie a été réalisée sur des systèmes Linux.
L'analyse du code source et le mode de propagation montre qu'il est multi-plateforme, ce qui signifie que les mises à jour futures il pourrait effectivement être utilisés sur les machines Windows et si compilé pour le système d'exploitation de Microsoft. Selon l'analyse, il est très similaire au ransomware Satan utilisé pour infecter les machines Windows.
Pour infecter les machines cibles du ransomware de Lucky utilise une série de vulnérabilités:
- CVE-2013-4810 - Ceci est une série d'exploits qui sont identifiés dans HP ProCurve Manager (PCM) 3.20 et 4.0, PCM + 3.20 et 4.0, Identity Driven Manager (IDM) 4.0, et l'application de gestion du cycle de vie permettant aux pirates d'exécuter du code arbitraire.
- CVE-2010-0738 - Ce problème est découvert dans l'application Web JMX Console en JBossAs dans Red Hat JBoss Enterprise Application Platform (alias JBoss EAP ou JBEAP) 4.2 avant 4.2.0.CP09 et 4.3 avant 4.3.0.CP08 qui effectue le contrôle d'accès uniquement pour les méthodes GET et POST. Cela permet efficacement les utilisateurs malveillants d'effectuer des attaques à distance.
- CVE-2017-12615 - Lorsque vous exécutez Apache Tomcat 7.0.0 à 7.0.79 sur Windows avec PUT HTTP activée (e.g. via la définition du paramètre d'initialisation readonly du défaut false) il était possible de télécharger un fichier JSP au serveur via une requête spécialement conçue. Cette JSP pourrait alors être demandé et le code qu'il contient serait exécuté par le serveur.
- Une connexion de la console d'administration Web Tomcat mots de passe attaque force brute permettant l'accès au service.
- CVE-2017-10271 - Ceci est une vulnérabilité dans le composant serveur Oracle WebLogic: Versions prises en charge qui sont touchées sont 10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0 et 12.2.1.2.0. Intrusions peut entraîner la prise de contrôle du serveur.
- MS17-010 - Ceci est un patch qui a été publié pour les versions plus récentes de Windows atténuants infections WannaCry de ransomware. Nous avons écrit une [wplinkpreview url =”https://sensorstechforum.com/top-5-wannacry-ransomware-mitigations/”]article détaillé à propos de ça.
- Apache Struts 2 Web Application Framework Exploits - Ceci est le grand [wplinkpreview url =”https://sensorstechforum.com/cve-2017-5638-patched-attack/”]incident de sécurité bien connu que divers serveurs web dans le monde entier englobés. Un patch a été publié en Mars 2017 mais cela n'a pas empêché les attaques.
Dès que les hôtes ont été compromis le script d'infection déploiera le ransomware automatiquement.
Opération chance Ransomware: Le processus d'infection
Dès que le module ransomware est lancé, il va commencer à chiffrer des fichiers de données utilisateur. La première action qu'il fait est de lire la /tmp / sSession fichier. Il contient des informations sur l'activité temporaire utilisé par divers composants du serveur (généralement des services Web). Une pratique courante consiste à fixer une date d'expiration pour les. Quand ils sont lus par le moteur de l'infection, il affichera le virus les données accédées dans la période définie.
Les fichiers système répertoriés seront traitées par le moteur de cryptage et renommé avec l'extension .lucky. L'analyse du code source indique qu'une liste d'exceptions est également disponible qui ne tient pas compte d'importants sites du système. Si elles sont affectées, le système peut cesser de fonctionner tout à fait. Les données cibles ont été identifiées afin d'inclure les extensions de fichiers suivants:
derrière, fermeture éclair, sql, mdf, LDF, monde, vendu, dmp, xls, doc,
sms, ppt, csv, rtf, pdf, db, VDI, vmdk, vmx, prend,
GZ, pem, pfx, cer et FSP
Une note ransomware est généré dans un fichier appelé _How_To_Decrypt_My_File_.txt qui lit le message suivant:
Je suis désolé de vous dire.
Certains fichiers ont crypted
si vous voulez vos fichiers , envoyer 1 Bitcoin à mon portefeuille
mon adresse portefeuille: 3HCBsZ6QQTnSsthbmVtYE4XSZtism4j7qd
Si vous avez des questions, Contactez nous s'il vous plait.
Email: nmare@cock.li
Une caractéristique intéressante est que cette note ransomware est également placé dans la MOTD (le message du jour) qui est offerte à tous les utilisateurs qui se connectent à la machine Linux. Lorsque le chiffrement a terminé le module recherchera d'autres hôtes situés sur le réseau local et tenter de les infecter.
Si le ransomware chanceux réussit à ses tactiques d'infection, nous prévoyons qu'une version sous Windows de celui-ci pourrait être développé. Comme son comportement est basé sur Satan nous attendons à ce qu'il pourrait suivre la même Raas (ransomware-as-a-service) modèle.
Martin Beltov
Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.
Suivez-moi: