Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Les utilisateurs de Linux ciblés par un Trojan Encoder

le 6 novembre 2015

Doctor Web alerte des utilisateurs sur la propagation d’un Trojan Encoder capable d'infecter des systèmes d'exploitation de la famille Linux. Le choix des catalogues dans lesquels le Trojan crypte les fichiers permet aux spécialistes de supposer que les cibles principales des malfaiteurs sont des administrateurs systèmes utilisant un serveur web. Dans certains cas, les malfaiteurs exploitent la vulnérabilité CMS Magento. Les chercheurs de Doctor Web pensent que le Trojan a pu toucher des dizaines d'utilisateurs.

La menace détectée a été ajoutée à la base virale sous le nom Linux.Encoder.1. Après son lancement avec les droits administrateur, le Trojan télécharge le fichier avec les demandes des malfaiteurs et le fichier qui inclut le chemin vers la clé RSA publique, puis se lance en tant que démon et supprime les fichiers d'origine. Cette clé RSA est plus tard utilisée pour stocker des clés AES avec lesquelles le Trojan crypte les fichiers sur la machine infectée.

Au premier tour, Linux.Encoder.1 crypte tous les fichiers dans les répertoires utilisateurs et dans le répertoire relatif à l'administration de sites web. Puis le Trojan analyse tout le système de fichiers d'une manière récursive : il commence par le répertoire dans lequel il a été lancé, puis par le répertoire racine «/». Le Trojan crypte uniquement les fichiers avec les extensions spécifiées dans sa liste et à condition que le nom du répertoire commence par une des lignes spécifiées par les malfaiteurs.

Les fichiers touchés reçoivent l'extension .encrypted. Dans chaque répertoire contenant des fichiers cryptés, le Trojan place le fichier avec les demandes des malfaiteurs : la victime doit payer une rançon en Bitcoin.

screen Linux.Encoder.1 #drweb

Doctor Web recommande aux utilisateurs, dont les fichiers ont été cryptés de contacter le service de support technique, décrire la situation et joindre quelques fichiers cryptés. Pour que les fichiers soient décryptés, l'utilisateur ne doit pas supprimer ou modifier des fichiers cryptés.

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web
Expérience dans le développement depuis 1992
Les internautes dans plus de 200 pays utilisent Dr.Web
L'antivirus est fourni en tant que service depuis 2007
Support 24/24

Dr.Web © Doctor Web
2003 — 2020

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg