Появился вирус-шифровальщик для Linux

Тут можно почитать. Занимательно…

галактеко в опасносте!
вирус!!!!
Вопрос, как он попадет на машину не рассматривается?
Надежда на незалатанные машины с голой задницей в инете?

Вчера прочитал на 3Dnews но не стал постить, проникает вроде как подменяя ключи шифрования ssh, мне показалось очередным бредом из области фантастики.

этот доктор веб периодически находит вирусы для линукса.. Недавно уже было.. Уже не смешно даже как-то..

Хоть на всех версиях ядра и во всех основных дистрах запускается? Или облом, как всегда?

А вот не... запускать бяку из под рута. От дурака и Linux не спасет.

Заголовок подправил, а то зашел и аж сам испугался.

Новость вчера на опеннете читал. У нас как обычно, если вирус под линукс появился - то целое событие. И при этом никто их в живую не видит.

на опеннете разложено по полочкам в том числе, и как именно он проникал/ет на атакуемые компьютеры.
ну и ссылка на разблокировщик там тоже есть. :-)

Понравился коментарий:

Исследователи лаборатории Bitdefender плюнули в лицо программиста из др.Веб, которые создавали этот вирус.
В др.Веб даже вирус нормальный создать не могут.

Прям даже улыбнуло)

Доктор Веб, типа, учится на ошибках. Похоже, решили создать убермегавирус. Остальные тестируют. =)

Похоже, это еще не конец истории. Появилась новая версия шифровальщика. Пользователям из России и стран СНГ обещают расшифровать бесплатно.

Если загуглить по первому хешу (a11bda0acdb98972b3dec706d35f7fba59587f99),можно качнуть сэмпл (зареганным на malwr) за 29 сентября.Он кроссплатформенный чтоли?На скринах видно что на хрюшке запускается.
p.s.Но выполнить функции походу не удаётся.

Товарищи, ну давайте разберемся...

Во времена дикой популярности MS DOS было большое количество людей, углубленно изучающих программирование, ассемблер, структуру исполняемых файлов, библиотек и прочие низкоуровневые штуки. Среди них были амбициозные студенты, меряющиеся письками со специалистами из компаний, разрабатывающих тогдашние системы защиты и антивирусы. Были даже случаи личной неприязни и именных оскорблений.

С появлением Windows и ее страшного WinAPI (изучение которого, к слову, в айти кругах, считалось достаточно трудоемким, порядка полугода) был определенный момент времени, когда считалось, что "вирусов под Windows нет по причине сложности их написания и необходимости в обширных познаниях, имеющихся у довольно узкой группы лиц, у которых тупо нет времени заниматься херней".

Но время шло, эффективность (скорость) разработки под Windows пытались улучшить как сами MS, так и сторонние компании, типа Borland, создавая различные фреймворки и ООП-обертки для WinAPI. Порог входа в разработку под Windows уменьшался, популярность росла, количество пользователей и разработчиков тоже. Нужно говорить о том, что вместе с этим появился шквал зловредного софта?

Что в это время происходило на фронте Linux? Из-за ошибок менеджмента мелкософта (отказ поначалу поддерживать TCP/IP), они безбожно прохлопали сегмент рынка серверов, который заняли юниксы/линуксы и в котором и оставались долгое время. Вирусов и троянов, в традиционном понимании, под них не было, зато был гиперактивный поиск уязвимостей в их открытом сишном коде, где налепить ошибок, особенно неопытному человеку - раз плюнуть. Для найденных уязвимостей писались эксплоиты - программы, позволяющие любому школьнику использовать эти уязвимости и почувствовать себя какером. Время и более эффективные методы контроля кода повысили уровень безопасности и сделали подобные ситуации более редкими, но не свели на нет и вряд ли сведут.

Другой пример - MacOS, при малой популярности которой, также считалось, что вирусов под нее почти нет. Когда же она начала ее лавинообразно набирать, становясь, практически, "осью разработчиков и специалистов других творческих профессий" - все гадости также пришли, как тараканы на разбросанные крошки.

Думаю, все здесь ратовали за распространение любимой ОС, принимали посильное участие по установке кубунты знакомым и родственникам... Это, конечно, капля в море, но когда на линукс обратили внимание гиганты индустрии, такие как Valve (Steam), 1C (не смейтесь, это очень весомо для российского рынка), а также другие крупные разработчики софта, включая, кстати, MicroSoft, который скоро притащит к нам полноценный, и, безо всякого сарказма, великолепный .NET.

Популярность пришла. И да, это только начало. Хотели? Получите, распишитесь =)

Tails и Tor...

Отпишитесь кто поймал вируса. Шибко хочется с очевидцем пообщаться

Недавно отловился один такой "вирус" на офисной машине с оффтопиком (Виндой) собственно Вот статья с описанием сей гадости лечилось простым удалением всех файлов "вируса" и восстановлением части зашифрованных документов из архива сделаного Clonzill-ой Вот статья по сей мудрёной операции . Так что бэкапы как всегда рулят !!!

меня такой хренью не напугать. я после изучения статей так 20ти стал вручную удалять вирус conficker/kido любых модификаций , даже лучше чем любой антивирус (они удаляют только один файл dll, а сидит он еще в реестре с запретом на изменение этого ключа, в назначенных заданиях и еще в паре мест).

Раскрыты подробности эксплуатации уязвимости (CVE-2015-8660) в ядре Linux, позволяющей непривилегированному локальному пользователю получить права root. Уязвимость вызвана недоработкой в коде установки прав доступа в файловой системе OverlayFS, проявляющейся при использовании пространств имён для идентификаторов пользователей (user namespaces).

Суть проблемы в том, что пользователь может при помощи технологии "user namespaces" создать изолированное окружение со своим пользователем root и примонтировать в нём часть внешней ФС через OverlayFS. Из-за ошибки в OverlayFS при изменении прав доступа в изолированном окружении, изменения также остаются в связанной с OverlayFS директории для хранения изменений (например, директория для изменений может быть создана в tmpfs и остаётся доступна извне, также доступ к ФС изолированного окружения можно получить через /proc). Таким образом, в изолированном окружении можно создать исполняемый файл с флагом suid root и выполнить его вне изолированного окружения.

Для тестирования подготовлен прототип эксплоита: halfdog.net/Security/2015/UserNamespaceOverlayfsSetuidWriteExec/UserNamespaceOverlayfsSetuidWriteExec.c

Вызвавшая уязвимость ошибка была устранена в ядре Linux в начале декабря и вошла в состав релиза ядра 4.4, но детальная информация об уязвимости обнародована только сейчас. Проблема проявляется начиная с ядра 3.18, поэтому не касается штатных ядер дистрибутивов RHEL/CentOS и Debian, но затрагивает выпуски Ubuntu 15.10 и Fedora 23 и уже устранена в опубликованных несколько дней назад обновлениях пакетов с ядром.

Следует отметить, что так как многие старые подсистемы ядра написаны без оглядки на возможности User Namespace, не исключается наличие ещё не выявленных похожих уязвимостей. Например, кроме OverlayFS подобные проблемы найдены в ptrace (CVE-2015-8709). В качестве обходного пути защиты рекомендуется отключить поддержку User Namespace в ядре (CONFIG_USER_NS=n). Проверить включена ли поддержка User Namespace можно командой "ls /proc/self/ns|grep user".
seclists.org/fulldisclosure/2016/Jan/28

Выявлено троянское ПО для Linux c функциями сохранения скриншотов и записи звука

Компания "Доктор Веб" сообщила о выявлении вредоносного ПО Linux.Ekoms.1, осуществляющего слежку за пользователями настольных систем на базе ядра Linux. В частности, Linux.Ekoms.1 пытается захватить конфиденциальную информацию или данные, которые можно использовать для шантажа, путём создания скриншотов каждые 30 секунд с их последующей отправкой на сервер злоумышленников.

Кроме того, Linux.Ekoms.1 поддерживает функциональность удалённого выполнения команд и загрузки на внешний сервер произвольных локальных файлов. В состав вредоносного ПО также входит код для скрытой записи звука, но данная возможность отключена по умолчанию. Взаимодействие с сервером производится с использованием шифрованного канала связи (AES, с шифрованием ключа AES при помощи открытого ключа на основе асимметричного алгоритма RSA).

После первого запуска в системе жертвы вредоносное ПО размещается под видом файлов $HOME/$DATA/.mozilla/firefox/profiled или HOME/$DATA/.dropbox/DropboxCache и отправляет сведения о новой поражённой системе на внешний сервер. Для автоматического запуска в системе вредоносное ПО создаёт файл $HOME/.config/autostart/%exename%.desktop. Так как Linux.Ekoms.1 нацелен в основном на поражение рабочих станций, размещение в системе, как правило, происходит в результате беспечного поведения пользователя, запустившего неизвестный исполняемый файл, установившего непроверенный пакет или использующего для открытия сомнительных сайтов необновлённый выпуск браузера.

(репост с опеннета)

И, главное, вообще не палятся. Так и написано:
"Данная вредоносная программа, добавленная в вирусные базы Dr.Web под именем Linux.BackDoor.Xunpes.1, состоит из дроппера и собственно бэкдора, выполняющего на зараженном устройстве основные шпионские функции."

Не сигнатура вируса (!) а непосредственно сама вредоносная программа.