A zsarolóprogramok eddig asztali környezetben Windows felhasználók és rendszergazdák életét keserítették meg, de a világ változik, a hekkerek pedig új célpontok után néztek. A Linux.Encoder.1 az első, ismert vírus, ami a fájlok titkosításával próbál váltságdíjat kicsikarni az áldozatokból Linux és FreeBSD rendszereken egyaránt – írja az Itcafé.

A Magento webáruház tartalomkövető rendszerének hibáját kihasználó program megkeresi a /home, a /root és a /var/lib/mysql ( stb) mappákat, majd ezek tartalmát AES-titkosítással kódolja. Ezt követően a szimmetrikus kulcsot aszimmetrikus algoritmussal (RSA) védi le. A trükk az, hogy a működéshez elengedhetetlen fájlokat békén hagyja, így a rendszer a későbbiekben is képes elindulni, a felhasználó mégsem tud hozzáférni az adataihoz. A kódot a PolarSSL felhasználásával, C programnyelven írták.

A vírus készítői azonban komoly tervezési hibát vétettek, mikor a titkosítást végző kódot írták. Nem véletlengenerátorral dolgozik a szoftver, hanem a fájl titkosításának pontos dátumát használja az AES kulcs generálásához. Ennek köszönhető, hogy az áldozatgépek használhatóvá tételéhez nem kell fizetni a hekkereknek.

A Bitdefender LABS munkája nyomán elérhető a dekódoló eszköz, ami automatikusan helyreállítja az érintett fájlokat. Fontos azonban, hogy azokon a rendszereken, ahol valamilyen okból többször is lefutott a zsarolóprogram, nem segít a megoldás, ami lépésről lépésre itt tekinthető meg. A 380 dolláros (1 bitcoin) váltságdíjat tehát azok kerülhetik el, akiknél csak egy példányban van jelen a trójai, vagy rendelkeznek biztonsági mentéssel és van lehetőségük visszatölteni a fertőzés előtti állapotot.

A legfrissebb Magento védett ettől a támadástól, de sokan nem telepítik azonnal a biztonsági javításokat. A Magento Enterprise Edition 1.14.2.2 és a Community Edition 1.9.2.2 már biztonságosnak tekinthető.