لينكس.المشفر
يُعتبر برنامج Linux.Encoder (المعروف أيضًا باسم ELF/Filecoder.A و Trojan.Linux.Ransom.A ) أول برنامج فدية من نوع حصان طروادة يستهدف أجهزة الكمبيوتر التي تعمل بنظام لينكس . [ 1 ] توجد نسخ أخرى من هذا البرنامج تستهدف أنظمة يونكس وأنظمة شبيهة بيونكس. اكتُشف هذا البرنامج الخبيث في 5 نوفمبر 2015 بواسطة دكتور ويب ، وقد أصاب عشرات المستخدمين على الأقل لنظام لينكس. [ 2 ]
يتم تشغيل برنامج Linux.Encoder.1 الخبيث عن بُعد على جهاز الضحية مستغلًا ثغرة في Magento ، وهو تطبيق شائع لإدارة المحتوى . عند تفعيله، يقوم البرنامج بتشفير أنواع معينة من الملفات المخزنة على محركات الأقراص المحلية والشبكية باستخدام تشفير المفتاح العام AES و RSA ، مع تخزين المفتاح الخاص فقط على خوادم التحكم الخاصة بالبرنامج. ثم يقوم البرنامج بتخزين ملف باسم "readme_to_decrypt.txt" في كل مجلد، يحتوي على رسالة تعرض فك تشفير البيانات مقابل دفع مبلغ مالي (عبر Bitcoin ). [ 3 ] بالمقارنة مع برامج الفدية الأخرى مثل CryptoLocker ، لا يحدد هذا البرنامج موعدًا نهائيًا للدفع، ولا تزداد قيمة الفدية بمرور الوقت.
اكتشاف
في الخامس من نوفمبر/تشرين الثاني 2015، أضافت شركة Dr. Web الروسية لمكافحة البرمجيات الخبيثة، برنامج Linux.Encoder.1 إلى قاعدة بيانات الفيروسات الخاصة بها. ثم نشرت الشركة وصفًا للبرنامج الخبيث في اليوم التالي. كُتب هذا البرنامج الخبيث بلغة C باستخدام مكتبة PolarSSL . [ 4 ]
عملية
التكاثر
بحسب مختبرات Bitdefender ، فإنّ أكثر طرق الإصابة شيوعًا هي ثغرة في برنامج Magento ، وهو برنامج لإدارة سلال التسوق . وقد أبلغت شركة CheckPoint عن هذه الثغرة في أبريل 2015. [ 5 ] بعد هذا التقرير، أصدرت Magento تحديثًا لإصلاحها. مع ذلك، لم تُطبّق العديد من مواقع التجارة الإلكترونية الصغيرة هذا التحديث الهام. [ 6 ] كما قد تتعرض خوادم Linux للهجوم باستخدام ثغرات أخرى.
تشفير الملفات
الملفات المشفرة
عند تشغيل البرنامج كمسؤول النظام (root)، يقوم بتحميل ملفين في الذاكرة يحتويان على مطالب المهاجمين:
- ./readme.crypto
- ./index.crypto
بعد ذلك، يحصل برنامج الفدية على مفتاح RSA العام. ثم يبدأ البرنامج الخبيث بالعمل كخدمة في الخلفية ويحذف جميع ملفاته الأصلية. سيقوم حصان طروادة بتشفير الملفات ذات الامتدادات التالية : ".php"، ".html"، ".tar"، ".gz"، ".sql"، ".js"، ".css"، ".txt"، ".pdf"، ".tgz"، ".war"، ".jar"، ".java"، ".class"، ".ruby"، ".rar"، ".zip"، ".db"، ".7z"، ".doc"، ".pdf"، ".xls"، ".properties"، ".xml"، ".jpg"، ".jpeg"، ".png"، ".gif"، ".mov"، ".avi"، ".wmv"، ".mp3"، ".mp4"، ".wma"، ".aac"، ".wav"، ".pem"، ".pub"، ".docx"، ".apk"، ".exe"، ".dll"، ".tpl"، ".psd"، ".asp"، ".phtml"، ".aspx". ".csv".
يقوم البرنامج الخبيث بتشفير الملفات ذات الامتدادات المذكورة أعلاه في الدلائل التالية:
- /بيت
- /جذر
- /var/lib/mysql
- /var/www
- /etc/nginx
- /etc/apache2
- /var/log
بعد ذلك، سيقوم البرنامج الخبيث بتشفير جميع الملفات من الدلائل التي تبدأ أسماؤها بما يلي:
- public_html
- www
- تطبيق ويب
- النسخ الاحتياطي
- .git
- ملف .svn
لن يقوم البرنامج بتشفير الملفات في الدلائل التالية:
- /
- /جذر/
- .ssh
- /usr/bin
- /bin
- /etc/ssh

سيقوم البرنامج بعد ذلك بإنشاء ملف باسم "readme_for_decryption.txt" في كل مجلد. يحتوي هذا الملف على عنوان بيتكوين مُخصص لطلب الفدية، بالإضافة إلى رابط تحميل أداة فك التشفير المُستضافة على موقع ويب بنطاق .onion .
طريقة التشفير
على غرار برامج الفدية الأخرى، يستخدم برنامج Linux.Encoder.1 خوارزميات تشفير مختلطة لتشفير البيانات. يبدأ البرنامج بإنشاء مفتاح AES على جهاز الضحية، ثم يشفر جميع الملفات السابقة باستخدام خوارزمية AES - CBC -128. بعد ذلك، يُضاف مفتاح AES المشفر باستخدام RSA إلى بداية كل ملف مشفر، مع الاحتفاظ بأذونات الملف الأصلية ومتجه التهيئة ( IV) المستخدم في خوارزمية AES. تُضاف اللاحقة ".encrypted" إلى نهاية أسماء جميع الملفات المشفرة. [ 3 ]
يستخدم البرنامج دالة rand() الخاصة بمكتبة libc مع الطابع الزمني في لحظة التشفير كبذرة لتوليد متجه التهيئة والمفاتيح.
فك التشفير
بعد دفع الفدية للمجرم الإلكتروني، يستطيع الضحية تنزيل برنامج PHP على جهازه. يستخدم هذا البرنامج مفتاح RSA الخاص لاستعادة مفتاح AES المتماثل وفك تشفير جميع الملفات ذات الامتداد ".encrypted". بالإضافة إلى فك تشفير الملفات، يقوم البرنامج أيضًا بحذف جميع ملفات "readme_for_decryption.txt" الموجودة على القرص الصلب.
استعادة الملفات
بسبب استخدام الطابع الزمني كبذرة لإنشاء المفاتيح ومتجه التهيئة للتشفير ، يصبح فك تشفير الملفات المشفرة بواسطة برامج الفدية أمرًا بسيطًا نظرًا لأن معلومات الطابع الزمني الأصلية تبقى سليمة. وقد اكتشف باحثون في مختبرات Bitdefender هذا الضعف واستغلوه لاستعادة الملفات دون الحاجة إلى دفع أي فدية للمجرمين. [ 3 ]
في أنظمة يونكس الأخرى
- تمت إعادة تجميع Linux.Encoder.1 على نظام التشغيل Mac، وأطلق عليه اسم KeRanger .
- توجد نسخة تصيب نظام FreeBSD . [ 4 ]
مراجع
- ↑ بيسون، ديفيد (10 نوفمبر 2015). "هل تم تشفير ملفات موقع الويب بواسطة برنامج الفدية Linux.Encoder.1؟ يوجد الآن حل مجاني" . غراهام كلولي . تم الاطلاع عليه بتاريخ 16 نوفمبر 2015 .
- ↑ "برامج الفدية المشفرة تهدد مستخدمي لينكس" . دكتور ويب . 6 نوفمبر 2015. تم الاطلاع عليه بتاريخ 16 نوفمبر 2015 .
- 1 2 3 "فشل برنامج الفدية الذي ظهر لأول مرة على نظام لينكس بسبب مفتاح تشفير متوقع" . مختبرات بيت ديفندر . 10 نوفمبر 2015. تم الاطلاع عليه بتاريخ 16 نوفمبر 2015 .
- 1 2 "Linux.Encoder.1" . دكتور ويب . 5 نوفمبر 2015. تم الاسترجاع في 16 نوفمبر 2015 .
- ↑ روبين، نتانيل (20 أبريل 2015). "تحليل ثغرة ماجنتو الأمنية" . مدونة تشيك بوينت . تم الاطلاع عليه بتاريخ 16 نوفمبر 2015 .
- ↑ "برامج الفدية تستهدف مواقعك الإلكترونية الآن" . كريبس أون سيكيوريتي . 15 نوفمبر 2015. تم الاطلاع عليه بتاريخ 16 نوفمبر 2015 .
- أحصنة طروادة
- برمجيات خبيثة لنظام لينكس
- برامج الفدية
