Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

約2,000のwebサイトがLinux.Encoder.1に感染

2015年11月13日

株式会社Doctor Web Pacific


2015年11月の初め、Doctor WebはLinuxを標的とする危険なランサムウェアの発見について報告し、そのニュースはメディアの注目を大きく集めました。今回は、そのランサムウェアLinux.Encoder.1について詳しくご紹介します。

Linux.Encoder.1を拡散させるサイバー犯罪者は、WordPressなどの様々なコンテンツマネジメントシステム(CMS:content management systems)やMagentoなどオンラインストアマネジメントシステムを用いて作成されたLinuxサーバー上のwebサイトを主な標的とし、攻撃の実行には未知の脆弱性が悪用されていました。

サイバー犯罪者がwebサイトへのアクセスに成功すると、そのインターネットリソースにerror.phpファイルが置かれます(Magentoの場合、/skin/ systemディレクトリに)。このファイルは、サイバー犯罪者がその他の違法行為を実行することを可能にするシェルスクリプトとして動作します。中でも特に、様々なコマンドを送信することを可能にします。このスクリプトを使用してハッカーはサーバー上に404.phpファイルを置きますが、実際にはこのファイルがLinux.Encoder.1のドロッパーです。ブラウザのアドレスバーに該当するアドレスを入力し、PHPファイルを参照することで生成されたサイバー犯罪者からのコマンドに従い、ドロッパーはOSのアーキテクチャを特定します(32ビット版か64ビット版か)。次に、それに応じた暗号化ランサムウェアのコピーを自身のボディから抽出して実行させ、その後、自身を削除します。

Linux.Encoder.1はwww-dataの権限で動作するため(Apacheと同じ権限で動作していることになります)、ユーザーが書き込み権限を持っているディレクトリ、すなわちCMSのファイルおよびコンポーネントを含んだディレクトリ内にある全てのファイルを暗号化することができます。このトロイの木馬がさらに高い権限を獲得した場合、その悪意のある動作の対象となるのはwebサーバーディレクトリのみに留まりません。その後、Linux.Encoder.1は復号化の手順とサイバー犯罪者からの要求を含んだREADME_FOR_DECRYPT.txtファイルをサーバーディスク上に置きます。該当するGoogle検索エンジンの該当するクエリを使用して得た情報から、2015年11月12日の時点で既に約2,000のwebサイトがLinux.Encoder.1に感染しています。

screen Linux.Encoder.1 #drweb

攻撃手法から、サイバー犯罪者はLinuxのwebサーバーを感染させファイルを暗号化するために実際にはルート権限を必要としていないことが分かります。また、ポピュラーなCMSの多くが修正されていない脆弱性を持ち、サイト管理者の中にはタイムリーなアップデートの必要性を軽んじ、古いバージョンのCMSを使用している人もいることから、Linux.Encoder.1はインターネットリソース所有者にとって深刻な脅威であると考えることができます。

Linux.Encoder.1のコードには複数の重大な欠陥があるため、このトロイの木馬によって暗号化されてしまったデータは復号化することが可能です。Linux.Encoder.1によってファイルを暗号化されてしまった場合は次の手順に従ってください。

  • 警察に連絡してください。
  • いかなる場合でも、暗号化されたファイルを含むディレクトリのコンテンツを変更しようとしないようにしてください。
  • サーバーからファイルを削除しないでください。
  • 暗号化されたデータをご自身で復元しようとしないでください。
  • Doctor Webテクニカルサポートに連絡してください(無料の復号化サービスはDr.Web製品の有償版ライセンスを購入されたユーザーのみ利用可能です)
  • トロイの木馬によって暗号化されたファイルをリクエストチケットに添付してください。
  • ウイルスアナリストからの返答をお待ちください。大量のリクエストが寄せられるため、時間がかかる場合があります。

無料の復号化サービスはDr.Web製品の有償版ライセンスを購入されたユーザーのみが利用可能となっています。Doctor Webでは全てのファイルの復号化を保証することはできませんが、暗号化されたデータの復元に全力を尽くします。

Linux.Encoder.1の構造に欠陥があることから、全てのサーバーデータを永久に破損または破壊されることを免れていますが、今後サイバー犯罪者によってこれらのバグが修正される可能性があります。そのため、特にポピュラーなプラットフォーム上にあるサイトの管理者は、例えLinuxのように比較的安全なOSのユーザーであっても、このトロイの木馬に感染してしまう危険性があります。Linux.Encoder.1はLinux向け Dr.Webウイルスデータベースに既に追加されています。Doctor Webでは引き続き状況を注意深く監視していきます。

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F