Administrátoři webových serverů, které byly v uplynulých dnech napadeny prvním v Linuxu šifrujícím ransomwarem mají štěstí. K dispozici už je bezplatný nástroj, který dokáže zašifrované soubory zase dešifrovat. A uživatelé tak nemusí platit výkupné stanovené na 1 bitcoin, tedy víc než osm tisíc korun.
Děkovat za něj mohou vývojářům z antivirové společnosti Bitdefender, kteří objevili trhlinu ve způsobu, jakým ransomware s označením Linux.Encoder.1 šifruje soubory v napadených adresářích.
Využívá k tomu takzvaný Advanced Encryption Standard (AES), na jehož bázi lze soubory jak zašifrovat, tak dešifrovat, v kombinaci s asymetrickým šifrovacím algoritmem RSA. Ten používá veřejný i soukromý klíč, přičemž veřejný pro šifrování, soukromý pro dešifrování.
V případě Linux.Encoder.1 je pár těchto klíčů generován na serveru útočníků a jen veřejný je zaslán do napadeného počítače a využit k zašifrování AES klíče. V takovém případě pak napadený uživatel těžko může soubory dešifrovat bez získání soukromého klíče. V Bitfenderu však v procesu našli slabinu, díky které obešli nutnost získat tento soukromý klíč.
Jejich nástroj je v podstatě v Pythonu napsaný skript, který po analýze šifrovacícho proesu dokáže obnovit zašifrovaná data jeho převrácením.
„Jestliže jste schopni nabootovat napadený systém, stáhněte si skript a spusťte ho jako superuživatel,“ radí Bitfender v příspěvku, v němž použití nástroje detailně popisují.
Nejde o první případ, kdy tvůrci ransomwaru zapomněli na mezery v šifrovacích algoritmech, což vedlo k snadnému prolomení šifer a záchraně napadených programů. Ve většině takových případů se však pučili a další verze svých škodlivých programů už vypustili zdokonalené.
Dá se tedy předpokládat, že i Linux.Encoder se dočká svých vylepšených verzí anebo že se objeví zcela nové červy šifrující v Linuxu.
PŘEDPLATNÉ
ČLÁNKY DO MAILU