Tội phạm mạng đang đẩy mạnh phân phối Linux.Encoder.1 nhắm đến các trang web được triển khai trên các máy chủ nền tảng Linux sử dụng hệ thống quản lý nội dung (CMS) như: WordPress, hệ thống quản lý cửa hàng trực tuyến Magento. Với các cuộc tấn công liên tục, kẻ tạo ra chủng virus này đang khai thác một lỗ hổng hiện chưa được xác định cụ thể.
Một khi tội phạm mạng có thể được truy cập vào website, các tập tin error.php bị thay đổi bằng mã độc (đối với Magento, nó được sao chép vào /skin/ system directory). Mã độc này sẽ được thực thi cho phép tội phạm mạng thực hiện các hoạt động bất hợp pháp bằng cách gửi nhiều lệnh khác nhau theo mục đích khai thác. Tiếp theo tin tặc có thể sao chép thay thế tập tin 404.php mà trên thực tế là Linux.Encoder.1 trên máy chủ. Từ thời điểm này, tội phạm mạng có thể kết nối với tập tin PHP từ trình duyệt bất kỳ để xác định cấu trúc hệ điều hành (32-bit hoặc 64-bit) để có thể chạy ransomware mã hóa tương ứng, khi đã hoàn tất việc mã hóa, ransomware này sẽ tự hủy, điều này sẽ gây khó khăn cho các chuyên gia bảo mật khi tìm kiếm mẫu mã hóa này.
Khi Linux.Encoder.1 được chạy với đặc quyền www-data priviledges ( nghĩa là nó được quyền vận hành như chính nền tảng web Apache) trojan hoàn toàn đủ khả năng mã hóa tất cả các tập tin trong bất kỳ thư mục nào mà quản trị viên có quyền truy cập. Nói cách khác, nó có toàn quyền truy xuất đường dẫn (directory) và các thành phần quản lý nội dung (CMS). Trong một số trường hợp, Trojan tiếm quyền cao hơn và hoạt động nguy hiểm của nó sẽ không bị hạn chế đến bất kỳ thư mục nào trên Web server. Sau đó, các chương trình độc hại sẽ lưu tệp README_FOR_DECRYPT.txt chỉ dẫn cách giải mã và yêu cầu tống tiền của tội phạm mạng trên máy chủ. Truy vấn các tìm kiếm từ Google từ ngày 12/11 thì có khoảng 2.000 trang web đã bị xâm nhập bởi Linux.Encoder.1 và 1,6 triệu kết quả liên quan đến virus này.
Kết quả tìm kiếm Linux.Encoder.1 – Dr.Web report
Hành vi tấn công cho thấy tội phạm mạng không thực sự cần quyền root của Web server nền tảng Linux để mã hóa các tập tin. Trojan này là một mối đe dọa cực kỳ nghiêm trọng cho các chủ sở hữu nguồn tài nguyên Internet, đặc biệt là các ứng dụng quản trị nội dung CMS phổ biến có các lỗ hổng chưa được vá mà webmaster hoặc là bỏ qua sự cần thiết phải cập nhật kịp thời hoặc chỉ sử dụng phiên bản cũ của CMS.
Bản thân mã của Linux.Encoder.1 cũng có một số hạn chế, dữ liệu được mã hóa bởi các Trojan này có thể được giải mã. Nếu web server đã bị xâm nhập bởi Linux.Encoder.1, cần làm theo các hướng dẫn dưới đây:
- Thông báo cho nhà chức trách xử lý.
- Không cố gắng thay đổi các nội dung của đường dẫn (directory) các tập tin bị mã hóa.
- Không xóa bất kỳ tập tin nào trên máy chủ.
- Đừng cố gắng khôi phục lại các dữ liệu đã bị mã hóa.
- Liên hệ bộ phận hỗ trợ kỹ thuật Dr.Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 (dịch vụ giải mã miễn phí cho người dùng đã mua bản quyền thương mại sản phẩm Dr.Web).
- Đính kèm một tập tin bị mã hóa bởi các Trojan vào yêu cầu hỗ trợ.
- Chờ phản hồi từ bộ phận hỗ trợ kỹ thuật Dr.Web. Do bộ phận hỗ trợ kỹ thuật Dr.Web nhận được quá nhiều yêu cầu giải mã, việc phản hồi sẽ mất thời gian.
Theo Dr Web, dịch vụ giải mã hoan toàn miễn phí chỉ dành cho người dùng đã mua bản quyền thương mại sản phẩm Dr.Web. Hiện chữ ký (signature) virus Linux.Encoder.1 đã được cập nhật vào cơ sở dữ liệu virus của Dr.Web dành cho Linux. Bộ phận an ninh Dr.Web vẫn tiếp tục theo dõi hoạt động của loại Trojan này.
TUẤN AN