Dr. Web ha alertado sobre ransomware peligroso que ha sido detectado para los sistemas Linux, conocido como Linux.Encoder.1.
Dirigido a servidores Linux que alojan sitios web con sistemas de gestión de contenidos (CMS) y de tiendas en línea, como WordPress y Magento, el troyano se aprovecha de una vulnerabilidad no identificada para tener acceso al sitio web y plantar el archivo error.php, que actúa como un script de shell que, a su vez, planta un archivo 404.php que es el que baja a Linux.Encoder.1 al servidor.
Linux.Encoder.1 se ejecuta con privilegios www
Linux.Encoder.1 se ejecuta con privilegios www de escritura de datos, los mismos privilegios de usuario de Apache. Estos privilegios son suficientes para cifrar todos los archivos y componentes del CMS. Si el ransomware adquiere privilegios más elevados entonces podría llevar sus actividades maliciosas más allá del directorio de servidor web. El troyano guarda el archivo README_FOR_DECRYPT.txt con instrucciones de descifrado y la demanda de rescate. Alrededor de 2 mil sitios web han sido comprometidos por Linux.Encoder.1.
Los ciberdelincuentes no necesitan privilegios de root para comprometer los servidores web Linux y encriptar los archivos. El troyano es una grave amenaza para sitios web que usan CMS populares y que tienen vulnerabilidades no corregidas, además de considerar que algunos webmasters optan por utilizar versiones no actualizadas del CMS o no lo actualizan.
Los datos cifrados por el troyano se pueden descifrar
Sin embargo Linux.Encoder.1 tiene un defecto: los datos cifrados por el troyano se pueden descifrar. Dr.Web ha estado ayudando a los webmasters con un servicio gratuito de descifrado, aunque sólo disponible para clientes de Dr.Web y sin garantizar el descifrado de todos los archivos. Es recomendable no intentar cambiar el contenido de los directorios con los archvos cifrados ni borrar archivos.
Seguramente que los cibercriminales aprenderán de este defecto y mejorarán el troyano para ataques dirigidos a la plataforma Linux.