شناسایی نسخه‌ی دوم از باج‌افزار لینوکسی

یک ماه پیش آزمایشگاه امنیتی Dr.Web خبر از کشف اولین باج‌افزار لینوکسی داد، این باج‌افزار که با نام Linux.Encoder معرفی شده بود، چند روز پس از شناسایی توسط آزمایشگاه امنیتی BitDefender مهندسی معکوس شد و روش‌های مقابله با آن در دست‌رس کاربران قرار گرفت.
نسخه‌ی اول این باج‌افزار همه‌ی پرونده‌های موجود در مسیر home، root و انواع نرم‌افزار‌ها از جمله MySQL و NginX را به کمک الگوریتم رمزنگاری ۱۲۸ بیتی AES رمز می‌کند، هدف اصلی این باج‌افزار کارگزارهای وب می‌باشد و به همین دلیل همه‌‌ی مسیرهایی که دارای محتوایی با عبارت‌های www یا public_html هم هستند را هم رمز می‌کند.
این باج‌افزار موفق شده بود در کم‌تر از دو هفته دست‌کم ۳۰۰۰ کارگزار را آلوده کند، اما راه‌کار مقابله با این بدافزار و رمز‌گشایی پرونده‌ها در ماشین‌های قربانی بلافاصله منتشر شد که خطر این بدافزار را بسیار کم می‌کرد.
به گزارش Dr.Web نسخه‌ی دوم از باج‌افزار Linux.Encoder از روز ۲۰ نوامبر مشاهده شده است که تابع تولید عدد تصادفی آن تغییر کرده و به عبارتی قطعه‌ی بدافزاری تغییر نداشته است و همان قطعه بدافزار است. عملکرد باج‌افزار‌ها تغییر نمی‌کند و در عمل کلید‌های رمزگذاری تغییرات اصلی را در باج‌افزار اعمال می‌کند. علت اصلی این است که مجرم سایبری اطمینان حاصل کند پرونده‌ها تا پرداخته شدن باج درخواستی به صورت رمز‌شده باقی می‌ماند و باقی عملکرد باج‌افزار برای مجرم سایبری اهمیت چندانی ندارد.
به گزارش Dr.Web نسخه‌ی دوم باج‌افزار Linux.Encoder هم به علت ضعف رمزگذاری قابل رمزگشایی است و قربانیان می‌توانند پرونده‌های خود را بدون پرداخت باج، بازیابی نمایند.
البته شناسایی نسخه‌ی دوم این بدافزار یک زنگ خطر جدی برای کاربران لینوکس است. در واقع در حالی‌که همه‌ی توجه‌ها به سمت باج‌افزار‌های ویندوزی است مجرمان سایبری نشان داده‌اند که توسعه‌ی باج‌افزار برای یک سامانه‌ی لینوکسی هم ممکن است و به همین دلیل انتظار می‌رود به زودی موارد مشابهی از این باج‌افزار‌ها به صورت گسترده منتشر شود.

منبع: asis