Ransomware liên tục “thất bại” trên Linux

Linux.Encoder là một loại Ransomware phát tán trên Linux. Nhưng khá hi hữu khi loại mã độc này đã cải tiến đến ba lần mà vẫn sử dụng mã hóa sai cho phép các nhà nghiên cứu khôi phục là dữ liệu. Để cài đặt một hệ mã hóa chuẩn không phải là việc dễ dàng.

Một vài tháng trước, một nhóm tin tặc không gian mạng đã phát tán vào hệ thống Linux – chủ yếu là máy chủ Web – một chương trình mã hóa file rồi đòi tiền chuộc có tên Linux.Encoder.

Lây nhiễm trên máy chủ Web là điều đáng lo ngại do không cần tương tác từ người dùng (mở file đính kèm email hay truy cập vào website độc hại). Thay vào đó tin tặc sử dụng máy quét tự động để tìm máy chủ chứa ứng dụng chứa lỗ hổng hoặc có mật khẩu SSH yếu có thể đoán thông qua kĩ thuật vét cạn.

Rất nhiều chủ website có thói quen xấu khi tạo ra các bản sao lưu nội dung ngay trên máy chủ của website, đồng nghĩa với việc chúng cũng sẽ bị mã hóa. May mắn là tất cả biến thể của Linux.Encoder đều cài đặt lỗi phần mã hóa cho phép các nhà nghiên cứu tạo ra công cụ giải mã file. Theo Bitdefender, ba phiên bản Linux.Encoder đã lây nhiễm ít nhất trên 600 máy chủ.

Dù tác giả của mã độc đã cố gắng cải thiện nhưng vẫn chưa đủ để làm khó các nhà nghiên cứu bảo mật. Phiên bản mới nhất tạo ra một khóa mã hóa AES-256 bằng cách lấy byte ngẫu nhiên từ hàm rand() và băm nó 8 lần. Tuy nhiên tác giả mã độc đã quên chọn hàm băm, nên đầu ra của hàm băm không hề thay đổi. Khóa AES được ghi vào file mã hóa một cách đầy đủ.

Chắc chắn loại ransomware này sẽ tiếp tục được cải tiến và rất có thể bạn sẽ mất toàn bộ dữ liệu hoặc phải trả tiền nếu không có các bản sao lưu. Hãy đảm bảo an ninh cho xác thực SSH; cập nhật thường xuyên các hệ quản trị nội dung như WordPress, Joomla và sử dụng ứng dụng tường lửa để phát hiện và chặn các khai thác khác nhau. Thường xuyên sao lưu và lưu trữ dữ liệu quan trọng ra ngoài.

CW