Izsiljevalski virusi napadajo tudi spletne strežnike na Linuxu

Matej Huš

9. nov 2015 ob 21:27:03

Izsiljevalski virusi, ki ob okužbi sistema zašifrirajo podatke na diskih in za predajo ključa za odklep zahtevajo plačilo odkupnine v bitcoinih, so preskočili med vrstami. Niso ranljivi le nezaščiteni Windows, temveč tudi sistemi z Linuxom. Novoodkriti izsiljevalski virus Linux.Encoder.1 napada strežnike, na katerih teče Linux, in ga številni protivirusni programi še ne prepoznavajo. Za odklep zahteva plačilo enega bitcoina, kar je trenutno okrog 380 dolarjev.

Pristop ni posebej inovativen, saj so izsiljevalski virusi že znana nadloga, ki po ocenah FBI-ja povzroča več deset milijonov dolarjev škode letno - samo en virus je v letu zbral 18 milijonov dolarjev. Linux.Encoder.1 za svoje malopridnosti potrebuje dostop do sistema, ki ga navadno dobi z izrabo kakšne nezakrpane ranljivosti, ki jih na internetu v vsakem trenutku mrgoli. Iskanje neznanih (zero-day) ranljivosti sploh ni potrebno, saj je v vsakem trenutku precej strežnikov, ki nimajo najnovejših popravkov, torej jih je preprosto napasti z uporabo kakšne dobro dokumentirane ranljivosti.

FBI je svetoval, da je v številnih primerih najbolje kar plačati, saj je sorazmerno enostavno napisati virus, ki bo uporabljal dovolj močno šifriranje, da podatkov ne bo mogoče odkleniti s surovo silo. Redki so primeri, ko je viruse mogoče zlomiti in podatke obnoviti. A včasih se zgodi tudi to, da zaradi površnega programiranja podatkov ni mogoče odkleniti kljub plačilu odkupnine. Več sreče prihodnjič, če vas je doletel Power Worm. Zanimiv je tudi pristop, kjer virus zagrozi, da bo podatke objavil na internetu, če uporabnik ne bo plačal. Za zdaj še ni dokumentiranega primera, da bi se bilo to res zgodilo.

Linux.Encoder.1, ki napada strežnike, za izvedbo potrebuje administratorski dostop. Če sistema ne poganjate kot root, česar tako ali tako ne bi smeli, ste načeloma varni. Razen seveda, če izkoristi kakšno luknjo ali ugane vaše geslo. Pri strežnikih imamo načeloma varnostne kopije, zato Linux.Encoder.1 poišče tudi vse datoteke, ki vsebujejo ime backup in jih prav tako zašifrira. A vsak soliden strežnik bi moral imeti tudi off-line kopije podatkov.