12 janvier 2016

Le début de l’année 2016 est marqué par l’apparition d’un nouveau ransomware à chiffrement nommé Linux.Encoder.3. Les chercheurs en sécurité de Doctor Web ont étudié ce Trojan et enregistré certaines fonctionnalités qui diffèrent de celles de ses prédécesseurs.

Il est probable que les créateurs du Trojan ont eu connaissance des erreurs commises dans le code de Linux.Encoder.1 via des informations données par un éditeur d’antivirus et qu’ils les aient réparées. Comme les versions précédentes de Linux.Encoder, ce Trojan pénètre le répertoire dédié (home directory) des sites web en utilisant un script shell intégré à plusieurs systèmes de gestion de contenu possédant des vulnérabilités inconnues. Linux.Encoder.3 n’a pas besoin des privilèges root, les privilèges du serveur web lui suffisent pour chiffrer tous les fichiers du répertoire dédié. Le support technique de Doctor Web a déjà reçu des requêtes de propriétaires de sites web touchés par Linux.Encoder.3.

Les cybercriminels ont modifié les algorithmes de chiffrement utilisé par le Trojan (en prenant en compte toutes les « recommandations » données par l’éditeur d’antivirus). Cependant, les fichiers compromis comportent toujours l’extension .encrypted. Une des fonctionnalités clés de Linux.Encoder.3 est qu’il peut retenir les dates de création et de modification des fichiers et les remplacer par ses fichiers modifiés tout en conservant les dates indiquées avant le chiffrement. Chaque échantillon de ce logiciel malveillant utilise une clé de chiffrement unique créée d’après les paramètres des fichiers cryptés et des valeurs générées au hasard.

Un certain nombre de caractéristiques de l’architecture de Linux.Encoder.3 rendent possible le déchiffrement des fichiers compromis. Cependant, étant donné que de nouvelles informations ont été publiées sur le Trojan, contenant des données détaillées sur ses bugs, les cybercriminels pourraient les utiliser pour modifier l’encodeur et rendre la procédure de déchiffrement plus difficile. Il est donc probable qu’une nouvelle version de Linux.Encoder soit détectée prochainement.

Si vous êtes victime de Linux.Encoder.3, suivez les conseils suivants :

• Alertez la police.
• Ne tentez, sous aucun prétexte, de modifier le contenu des répertoires contenant les fichiers chiffrés.
• Ne supprimez aucun fichier du serveur.
• Ne tentez pas de restaurer les fichiers cryptés vous-même.
• Contactez le Support technique de Doctor Web (le service de déchiffrement gratuit est uniquement disponible pour les utilisateurs de licences commerciales de produits Dr.Web).
• Joignez un fichier chiffré par le Trojan à votre requête.
• Attendez une réponse du Support. Etant donné le grand nombre de requêtes, cela peut prendre un peu de temps.

Nous rappelons que le service de déchiffrement gratuit est valable uniquement pour les utilisateurs qui ont acheté et activé une licence pour un produit Dr.Web. Doctor Web ne peut pas garantir que tous les fichiers seront décryptés avec succès. Cependant, nos spécialistes feront le maximum pour les restaurer.

En savoir plus sur ce Trojan