RANSOMWARE, Ataque para Servidores Web. Alerta de seguridad en Venezuela las empresas con presencia en Internet son el objetivo.

 

 

La amenaza ingresa al sitio web a través de distintas vulnerabilidades conocidas en plugins o software de terceros y utiliza cifrado AES. Según los investigadores, el ransomware necesita privilegios de root para trabajar. Además, cuando inicia, el malware descarga: el mensaje de rescate con las demandas de los estafadores y un archivo que contiene la clave pública de RSA. Después de eso.

 
Orientados a sitios web desarrollados en tecnologías LAMP (Linux, Apache, MySQL y PHP) como objetivo. El malware cifra la página de inicio y las carpetas asociadas y luego pide un rescate de 1 Bitcoin (~ U$S 300) para descifrar los archivos.

Por ser Venezuela una zona convulsionada  por diferentes variables, los cibercriminales encuentran en ella un paraíso especial para ganar dinero fácil, ya que en este país NO EXISTE LA CULTURA DE LA SEGURIDAD DE LA INFORMACION.


Archivos comprometidos se adjuntan, a que el malware con la extensión .encrypted. En cada directorio que contiene los archivos cifrados, el troyano planta un archivo con un rescate por la demanda que han descifrado sus archivos, la víctima debe pagar un rescate en la moneda electrónica Bitcoin.

La amenaza ingresa al sitio web a través de distintas vulnerabilidades conocidas en plugins o software de terceros y utiliza cifrado AES. Según los investigadores, el ransomware necesita privilegios de root para trabajar. Además, cuando inicia, el malware descarga: el mensaje de rescate con las demandas de los estafadores y un archivo que contiene la clave pública de RSA. Después de eso, borra todos los archivos originales. La clave RSA se utiliza para almacenar las claves AES que se utilizan para cifrar los archivos localmente en el equipo infectado por el ransomware.

 

RANSOMWARE  WEB
RANSOMWARE WEB

 El malware busca archivos en:

/home

/root

/var/lib/mysql

//www

/etc/nginx

/etc/apache2

/var/log

Las extensiones buscadas son .js, .css, .properties, .xml, .ruby, .php, .html, .gz, y .asp de archivos web y otras como .rar, .7z, .xls, .pdf, .doc, .avi, .mov, .png, y .jpg. El ransomware también añade la extensión .encrypt a cada archivo cifra y deja el mensaje de texto de rescate en cada carpeta.

servidoresATACADOS  Doctor Web recomienda a los usuarios cuyos archivos han sido cifrados en contacto con el soporte técnico que proporciona información detallada sobre el incidente y el envío de varias muestras de los archivos cifrados. Para descifrar archivos, es muy importante que el usuario no modificar ni eliminarlos; de lo contrario, los datos cifrados se pueden perder de forma permanente.

FUENTE:

https://news.drweb.com/show/?i=9686&lng=en

ANÁLISIS DEL VIRUS

http://vms.drweb.com/virus/?i=7704004&lng=en

SOLUCIÓN  PARA RECUPERACIÓN DE LA DATA CIFRADA

http://labs.bitdefender.com/2015/11/linux-ransomware-debut-fails-on-predictable-encryption-key/

 

 

Leave a Comment