Админам веб-серверов, которые оказались заражены появившейся недавно первой программой-вымогателем для Linux, повезло: в компании Bitdefender обнаружили в ней уязвимость, позволившую выяснить ключи, с помощью которых она шифрует файлы.
Вымогатель был обнаружен специалистами Dr. Web, которые назвали его Linux.Encoder.1. Способ заражения не выяснен; вероятно — через эксплойты для веб-приложений. Вредонос обходит файловую систему, шифруя по алгоритму AES домашний каталог пользователя, а также каталоги сервера MySQL, журналов операций и другие, плюс файлы с определенными расширениями. В каждом каталоге он оставляет сообщение о том, как за выкуп получить ключ для расшифровки.
В AES один и тот же ключ используется для кодирования и декодирования, а сам он шифруется по RSA — алгоритму с открытым ключом. Пара ключей RSA для Linux.Encoder.1 генерируется на сервере атакующих. При грамотной реализации расшифровка без получения закрытого ключа от вымогателей была бы невозможной, но в Bitdefender выяснили, что для AES вредонос использует слабый источник случайных данных — дату и время на момент операции шифрования. Поэтому исследователям удалось выяснить ключ AES без их расшифровки. В компании разработали инструмент декодирования «захваченных в заложники» файлов в форме скрипта на Python.