Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Ransomware Linux – La solution

La semaine dernière, on apprenait l’existence d’un ransomware (Linux.Encoder.1) un peu particulier puisqu’il vise les serveurs sous Linux. Une fois sur la machine (qui à l’origine doit être quand même sacrément mal sécurisée) et avec les droits admin, ce malware commence à chiffrer avec de l’AES certains contenus des répertoires suivants :

/home
/root
/var/lib/mysql
/var/www
/etc/nginx
/etc/apache2
/var/log
public_html
www
webapp
backup
.git
.svn

Les contenus visé sont ceux qui possèdent les extensions suivante :

« .php », « .html », « .tar », « .gz », « .sql », « .js », « .css », « .txt » « .pdf », « .tgz », « .war », « .jar », « .java », « .class », « .ruby », « .rar » « .zip », « .db », « .7z », « .doc », « .pdf », « .xls », « .properties », « .xml » « .jpg », « .jpeg », « .png », « .gif », « .mov », « .avi », « .wmv », « .mp3 » « .mp4 », « .wma », « .aac », « .wav », « .pem », « .pub », « .docx », « .apk » « .exe », « .dll », « .tpl », « .psd », « .asp », « .phtml », « .aspx », « .csv »

Ça vise donc clairement les sites web et les sources.

En passant, je ne sais pas si vous avez vu mais l’hébergeur Hostinger propose des offres super intéressantes en matière d’hébergement web. C’est pas trop cher pour démarrer et s’auto-héberger. (Lien partenaire)

Et évidemment, une fois que c’est fait, il supprime les originaux et pose un fichier texte baptisé README_FOR_DECRYPT.TXT afin de donner la marche à suivre à la victime pour verser 1 Bitcoin de rançon et récupèrer une clé qui lui permettra de déchiffrer ses fichiers.

Bon, même si le FBI recommande de payer la rançon quand ça arrive, je ne suis pas certain que ce soit le meilleur conseil. La solution pour ce protéger de ce genre de ransomware comme je l’expliquais déjà dans mon article sur Cryptolocker, c’est surtout d’avoir des backups propres à restaurer.

Heureusement pour vous, si vous avez été victime de ce ransomware Linux, la société BitDefender a découvert une faille au niveau de la conception du malware, ce qui rend la clé de déchiffrement prédictible.  Ils ont donc sorti un petit outil qui vous permettra de récupérer vos fichiers sans avoir à payer.

Ouf sauvé !

Merci à eux !

Source

Capture d'écran de l'interface utilisateur de la solution de protection Linux contre les ransomwares

Pour faire comprendre à ton boss que te donner du boulot ce week end n’etait pas une bonne idee:

Comment tout détruire avec une clé USB ? – Korben

Si vous n’avez pas encore mis de résine dans vos ports USB, voici une petite news qui devrait vous faire changer d’avis. On le sait tous, les ports USB sont des nids à microbes…

Que faire après le bac quand on est passionné de cybersécurité ?

Entièrement dédiée à la cybersécurité, l’école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l’école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).

Cliquez ici pour en savoir plus

Partenaire


Les articles du moment