برنامه نویسان باج افزار، به دنبال منابع جدیدی جهت درآمد خود هستند. پس از هدف گیری کامپیوترهای مصرف کنندگان و پس از آن، کامپیوترهای تجاری، هم اکنون این برنامه نویسان حملات خود را به سمت وب سرورها توسعه داده اند.
محققان آنتی ویروس روسی Dr.Web، به تازگی یک بدافزار جدید برای سیستم های مبتنی بر لینوکس، ملقب به Linux.Encoder.1 را کشف کرده اند.
معمولاً این بدافزار به وب سایت هایی تزریق می شود که توسط پلاگین یا نرم افزارهای شخص ثالث (برای مثال سبد خرید)، دچار آسیب پذیری بیشتری هستند. به محض اینکه این بدافزار، با سطح دسترسی ادمین، بر روی یک سیستم اجرا شود، شروع به رمزگذاری کل سیستم فایل ها در دایرکتوری های مخصوص می کند. به عنوان مثال، دایرکتوری home کاربر، دایرکتوری سرور MySQL، دایرکتوری مخصوص گزارشات و همچنین دایرکتوری های وب سرورهای Apache و Nginx تحت تاثیر این بدافزار، رمزگذاری می شوند.
این بدافزار، فایل ها (به ویژه فایل های مرتبط با برنامه های کاربردی وب از جمله عکس، صفحات وب، کد، اسکریپت و …) را با پسوندهای مشخص رمزگذاری می کند. سپس یک یادداشت مبتنی بر باج خواهی در هر دایرکتوری از خود به جای میگذارد که حاوی فایل های رمز شده، می باشد.
Linux.Encoder.1 از یک الگوریتم رمزگذاری قوی و یک کلید عمومی استفاده می کند. بدین ترتیب، بازیابی فایل ها بدون پشتیبان گیری یا پرداخت باج، دشوار خواهد بود.
برخلاف کاربران معمولی یا تجاری، وب سرورها به احتمال زیاد فایل پشتیبان تهیه کرده اند. اما باید توجه داشت که این باج افزار، آرشیوها و دایرکتوری هایی که شامل نام “backup” هستند را رمز می کنند. بدین ترتیب بسیار مهم است که فایل های پشتیبان را روی یک سرور ریموت یا به صورت آفلاین، ذخیره نمود. البته در صورتی که باج افزار تهدید به انتشار فایل های آن وب سایت نکرده باشد!!!
هنوز مشخص نیست که این بدافزار چگونه روی سرورها نصب می گردد، اما حملات علیه سیستم های لینوکسی معمولا شامل اعتبارسنجی از راه دور (SSH) یا سوء استفاده از برنامه های کاربردی وب (مثلا SQL injection یا بارگذاری فایل از راه دور) می باشد.
