ransomware-563x353

Para toda la atención que Linux Encoder Ransomware ha conseguido, mucha gente parece desconocer que es fácil de arreglar. He aquí cómo hacerlo.

Lo primero es lo primero. Linux.Encoder.1, el “Linux” cripto-ransomware, no es un agujero de seguridad de Linux.

Este malware se basa en un agujero de seguridad en la plataforma web de comercio electrónico Magento, no de Linux.

Si utiliza Magento y no ha parcheado desde el 09 de febrero 2015 – sí que ha sido tanto tiempo entonces, y sólo entonces, ¿estás vulnerable. De lo contrario, su sitio no puede tener posiblemente Linux Encoder Ransomware.

El ataque a Magento se asemeja a programas ransomware como Windows CryptoWall y TorLocker. Ellos cifran sus archivos y luego exigen el pago de la llave para abrir sus documentos.

Digamos que usted utiliza Magento y eran lo suficientemente tonto como para dejar una plataforma sin parchear el comercio electrónico durante más de medio año. Parche ahora.

La guía ransomware: protección y erradicación

Si usted está mirando fijamente a su servidor con horror y demasiados de sus archivos son encriptados por un atacante y sus directorios todos tienen un archivo titulado “README_FOR_DECRYPT.txt,” felicidades, lo tienes. Parece que unos 2.700 administradores de sitios web tienen Linux.Encoder en sus servidores.

La buena noticia es que es fácil de eliminar.

Se podría, por supuesto, pagar la tarifa de rescate de un solo Bitcoin, $325 en el momento. No recomiendo hacer esto. Además de simplemente animar a los programadores de ransomware, la corrección de la curva no funciona bien. El experto en seguridad Brian Krebs informa que un administrador del sistema que ha desembolsado, consiguió sus archivos de nuevo, pero, el “guión de descifrado que pone los datos de nuevo … de alguna manera comió algunos personajes en unos pocos archivos, añadiendo como una coma o un extra espacio en el fichero .

Bitdefender está ofreciendo un script libre de Python 2.7 para obtener la clave Linux.Encoder y IV para su servidor contaminado.

He aquí cómo usarlo.

Si puede arrancar el servidor comprometido, descargar el script y ejecútelo como root. Si no puede arrancar, descargue y descomprima el archivo en una memoria LIVE USB de Linux. Para este trabajo, le recomiendo la distribución SystemRescueCD Linux.

 A continuación, montar la partición encriptada usando el comando shell:
mount /dev/[encrypted_partition]
Generar una lista de archivos cifrados con el siguiente comando:
/mnt# sort_files.sh encrypted_partition > sorted_list
Emitir una linea de comando para conseguir el primer archivo:
/mnt# head -1 sorted_list
Ejecute la utilidad de descifrado para obtener la semillla del cifrado:
/mnt# python decrypter.py -f [first_file]
Descifrar todos los otros archivos infectados utilizando la semilla que se muestra:
/mnt# python /tmp/new/decrypter.py -s [time-stamp.] -l sorted_list
No es cómodo con el shell de Linux? Consiga a alguien que sea un experto en Linux para ayudarle.
Vía
Likes
Gracias de antemano.