FairWare s’attaque aux serveurs Linux

virusFairWare s’attaque aux serveurs Linux en supprimant les fichiers du système. Ce qui n’empêche pas ses auteurs de réclamer une rançon pour les restituer.

Un nouveau ransomware s’attaque aux serveurs web sous Linux. Baptisé FairWare, cette menace se distingue, non pas par une méthode de chiffrement renforcée, mais en supprimant tout simplement les fichiers du système affecté. Ce qui n’empêche pas ses auteurs de réclamer une rançon permettant – soit-disant – de récupérer lesdites données.

C’est du moins la mésaventure qui vient d’arriver à une victime qui en témoigne sur le forum de Bleeping Computer.« Ma machine Linux a été piratée (…) avec un accès root et le répertoire www a été supprimé », raconte gonngetchu. En lieu et place du contenu de son répertoire effacé, il a trouvé le fichier READ_ME.txt dans le répertoire /root. Un fichier qui explique que « votre serveur a été infecté par Fairware » et qui réclame 2 bitcoins (un peu plus de 1000 euros) pour restituer les contenus. Le tout sous deux semaines.

Linux.Encoder en novembre

« Nous sommes les seuls au monde à pouvoir restituer vos fichiers !, ajoutent les attaquants. Lorsque votre serveur a été piraté, les fichiers ont été chiffrés et envoyés à un serveur que nous contrôlons. » Comme le note Lawrence Abrams, créateur et dirigeant de BleepingComputer, rien ne prouve que les fichiers seront effectivement restitués à leur propriétaire. Aucune précision n’est apportée par les pirates sur la méthodologie de restitution. Qui plus est, ils préviennent qu’ils ne répondront pas aux victimes qui souhaiteraient s’assurer que les fichiers sont bien en leur possession. « Bien que les victimes de ransomware devraient éviter de payer une rançon, si vous prévoyez de payer, il est suggéré de d’abord vérifier qu’ils ont vos fichiers », conseille Lawrence Abrams. Le mieux étant évidemment d’effectuer des sauvegardes régulières pour rester à l’abri de ce type d’attaque. Et de vérifier l’étanchéité du serveur.

FairWare n’est pas le premier rançongiciel à s’attaquer aux serveurs Linux. En novembre 2015, Linux.Encoder défrayait la chronique. Mais si le chantage au paiement était bien utilisé, le malware s’appuyait sur le chiffrement des fichiers pour inciter ses victimes à sortir leurs bitcoins. Néanmoins, les chercheurs en sécurité avaient rapidement trouvé une parade pour récupérer les fichiers chiffrés. Et la carrière de Linux.Encoder n’a guère fait long feu. FairWare lui succédera-t-il avec plus de succès .

Un ransomware Windows se fait passer pour une mise à jour… et chiffre vos données

Attention à ce nouveau ransomware aperçu sous Windows. Prenant la forme d’un écran Windows Update factice, il se charge, plutôt que de mettre à jour votre bécane, de chiffrer vos données. Et comme tout bon rançongiciel, vous invite à mettre la main à la poche pour annuler l’opération.

Baptisé Fantom, ce nouveau ransomware se charge en effet de faire croire à l’utilisateur qu’il installe une mise à jour critique. Découvert par Jakub Kroustek d’AVG Technologies, il prend la forme d’un fichier a.exe, met en avant une « mise à jour critique » à installer promptement, et inclut même un copyright de Microsoft signé de l’année 2016.

Une fois lancé, le programme va extraire et lancer une application nommée « WindowsUpdate.exe », lançant un écran de mise à jour Windows factice, intégrant une barre de progression, et invitant l’utilisateur à ne surtout pas éteindre sa bécane. En somme, c’est exactement le même procédé que celui utilisé par Microsoft.

Une fois la tâche du programme bouclée, une clé AES-128 va être générée pour être uploadée sur le serveur Command & Control (C&C) du malware, qui va viser de nombreuses extensions de fichier, ajoutant un extension .fantom bloquant leur accès. Et malheureusement, il semble qu’il n’existe aucun moyen de déchiffrer les fichiers visés… à moins de payer la somme demandée. La vigilance est donc à l’ordre du jour !