COMO DEFENDERSE DEL RANSOMWARE DE LINUX

El objetivo del troyano era buscar hacerse de archivos, páginas, etc., exigiendo un pago económico a cambio de la recuperación de datos.

Así, una vez ejecutado buscaba el / home, / root y/ / lib / mysql var y comenzaba el cifrado de contenido, mediante el algoritmo AES (cifrado de clave simétrica), que proporciona suficiente fuerza y velocidad, manteniendo el uso de recursos del sistema al mínimo. La clave simétrica se cifraba con un algoritmo de cifrado asimétrico (RSA) y se antepone al archivo, junto con el vector de inicialización utilizado por AES.

Una vez que los archivos han sido cifrados, el troyano intentaba cifrar también el contenido de la raíz (/), omitiendo sólo los archivos críticos del sistema, por lo que el sistema operativo sería capaz de arrancar de nuevo.


Sin embargo, la amenaza ha durado poco, porque ya circula en las noticias de la red que el malware tiene un fallo en la generación de su cifrado que permite recuperar la clave ejecutando un script en Python sin tener que pagar nada.


La empresa de seguridad Bitdefender analizó el ransomware y detectó un fallo de diseño a la hora de generar la clave AES en el sistema infectado, ya que la misma no se producía de forma totalmente aleatoria y podía ser recuperada analizando la fecha y hora del momento del cifrado.


Bitdefender, ha hecho público en forma totalmente gratuita el script que ha desarrollado, y que permite automatizar el proceso de generación y recuperación de los datos cifrados.


Más información (en inglés) en: Doctor Web y script gratuito de Bitdefender aquí