Ransomware, Windows kullanicilarini çok etkin bir sekilde canlarini sikmayi basarmis ve bir tehdit haline gelmisti. Sira simdiden Linux kullanicilarina gelmis gibi Linux.Encoder.1 olarak adlandirilan virüs gittikçe etkinligini arttirmakta.
Kisaca: Kurbanin sabit diskini veya bulundugu ortamdaki tüm dosyalari kullanilan en güçlü algoritmalar ile sifreleyip bir anahtar karsiliginda çözmek için fidye talep etmektedir. Bu fidye talebi içinde kullanidigi para birimi ise Bitcoini tercih etmektedir.
Bu virüsün hedefinde genellikle akilli telefonlar, bilgisayarlar ve tabletler yer almaktaydi. Son zamanlarda ise fidye amaçli kullanilmaya baslanildi. Kullanicinin dosyalarini sifreleyip açilmaz hale getirmektedir. Windows üzerinde ki etkinliklerinden sonra linux.Encoder.1 lakapli virüs bu sefer Linux tabanli web sitelerine, veri tabanlarina, hedef sitenin dizinlerine bulasarak klasör ve dosyalari sifreledigi görülmeye baslandi. Bu virüse karsi bir çok AntiVirüs firmalari çözüm bulduklarini dile getirmislerdir fakat çözüm yolunu maalesef paylasmamaktadirlar. Bunun için veri çözümle ve kurtarma islemlerini 300 Dolar degerinde baslayan fiyatlarla yapabileceklerini söylemektedirler.
Linux.Encoder.1 virüsü linux üzerinde web uygulamarinda bulunan SQL, RCE gibi açiklar sayesinde sisteme bulasabilmektedir. Ayrica CMS eklentilerinin ve Linuxta bilinen zafiyetler neticesinde de bulasabilmektedir. Linux.Encoder.1 Virüsü bulastigi sistemlerde kendisine ROOT yetkisi vererek sistemde bulunan datalari sifrelemektedir.
Sisteme bulasip datalari sifreledikten sonra fidye istemek için dizinde fidye mesajini birakmaktadirlar. Fideye mesajlarinda genellikle RSA anahtarinin bulunmaktadir. gerekli iban veya paypal hesaplari üzerinde ödeme yapilip tekrar encrypt için key verecegini dile getirmektedir. Fakat bu zamana kadar bu denilenlerin geneli yalan çikmistir. firmalar para yatirdiklari halde yine verilerine kavusamamislardir.
Sifreleme algoritmasi incelendigi zaman AES sifreleme türü kullanilmaktadir. Fidye yazilimi her klasördeki dosyaya .encrypt uzantisi eklemektedir.
Linux.Encoder.1, virüs ilk önce sistemde ki kullanici ve dizinlerin listesini olusturarak kendisine sifreleme siralamasi çikartmaktadir. Ilk önce kullanicidan baslayan virüs daha sonra klasörlere akabinde dosyalara bulasmaktadir. Kullanicilardan en çok Root ve Admin üzerinde, Dizinlerde ise MysQL, Apache, SVN, Css, www,public, .xml, .html, gibi dosya ve uzantilar üzerinde yogunlasmaktadir.
Linux gelistiricileri konu ile ilgili çözüm buluna kadar, http://labs.bitdefender.com/2015/11/linux-ransomware-debut-fails-on-predictable-encryption-key/ linkteki islemlerin yapilmasini ve önlem alinmasi gerektigini açikladi.
Genel olarak bildigimiz cryptolocker virüsü bu sefer linux sistemlerde özelliklede linux sunucularda kendini göstermis oldu. Isin tuhaf tarafi bir çok antivirüs sirketi problemi çözdüklerini söyledikleri halde islem için 300 dolar gibi bir ücretten bahsediyorlar sahi fidye istenilen miktar ne kadar acaba ?
