Linux.Encoder.1 y la esperanza de recuperar tus ficheros

Linux.Encoder.1 es un ransomware (malware que “rapta”/encripta tus ficheros y que chantajea de forma económica típicamente si quieres recuperar tus datos) que está siendo noticia últimamente. No porque este tipo de malware sea nuevo, sino porque parece ser que es el primero (que se sepa hasta la fecha) que ataca sistemas Linux.

Éste concretamente se aprovecha de una vulnerabilidad en Magento, un carrito de la compra electrónico. Una vez dentro de tu sistema, Linux.Encoder.1 busca los directorios /home, /root y/var/lib/mysql, y encripta su contenido usando AES, un algoritmo de clave simétrica. Dicha clave luego es encriptada con RSA. Una vez hecho esto, el malware empieza a encriptar el directprio raíz (/), excluyendo algunos ficheros críticos.

La “buena” noticia es que Bitdefender, después de hacer ingeniería inversa a dicho espécimen, ha encontrado que la clave AES es generada localmente pasando como semilla la fechar y hora actual del sistema a la función rand() de la librería libc. Dicha semilla puede ser fácilmente encontrada mirando la fecha y hora de los ficheros encriptados, con lo que, afortunadamente, supone un gran fallo en el diseño del malware. De hecho Bitdefender a creado una utilidad capaz de desencriptar dichos ficheros.

Espero que si alguno de vosotros se ha visto afectado, dicha utilidad os sea de utilidad, valga la redundancia :) y que sirva de lección para aprender: hacer copias de seguridad diarias, mantener tus sistemas parcheados, etc, etc