Мой сервер (CentOS) недавно был взломан некоторыми крипто-хакерами. Они зашифровали все мои файлы и попросили выкуп за их расшифровку. Они сохранили сообщение во всех папках, которые начинаются так
Ваши личные файлы зашифрованы! Шифрование производилось с использованием уникального открытого ключа RSA-2048, созданного для этого компьютера.
Для расшифровки файлов вам необходимо получить закрытый ключ.
Единая копия закрытого ключа, которая позволит расшифровать файлы, находящиеся на секретном сервере в Интернете. После этого никто и никогда не сможет восстановить файлы ...
Чтобы получить закрытый ключ для этого компьютера, который будет автоматически расшифровывать файлы, вам необходимо заплатить 1 биткойн (~ 240 долларов США). Без ключа вы никогда не сможете вернуть свои исходные файлы ...
Теперь они прислали мне ключи дешифрования, и я все еще могу помочь мне, пожалуйста, как я могу восстановить свои файлы?
Каковы возможные уязвимости, которыми они воспользовались? Есть ли другие советы / подсказки, чтобы избежать будущих угроз? Заранее спасибо.
Изменить: они отправляют мне скрипт PHP с закрытым ключом, который я должен загрузить на сервер и запустить через URL-адрес. Вот это файл с расшифровкой, который они мне прислали.
Если вы извлечете 3 строки $ so32, $ so64 и $ so, а затем декодируете их, вы получите 3 двоичных файла.
Я извлек их, просто удалив PHP-код между этими строками и «преобразовав» его в сценарий bash, который в основном записывает их в файлы.
Что-то вроде:
so32="f0VMRgEBAQMA..."
so64="f0VMRgEBAQMA..."
so="f0VMRgEBAQMA..."
echo $so32 | base64 --decode > /tmp/so.decoded
echo $so64 | base64 --decode > /tmp/so32.decoded
echo $so | base64 --decode > /tmp/so64.decoded
Они кажутся Бинарные файлы, упакованные UPX что, по крайней мере, согласно Эта статья соответствует приложению декодирования cryptolocker.
file /tmp/so*
/tmp/so32.decoded: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped
/tmp/so64.decoded: ELF 64-bit LSB executable, x86-64, version 1 (GNU/Linux), statically linked, stripped
/tmp/so.decoded: ELF 64-bit LSB executable, x86-64, version 1 (FreeBSD), statically linked, for FreeBSD 10.1, not stripped
strings /tmp/so64.decoded -n 30
$Info: This file is packed with the UPX executable packer http://upx.sf.net $
$Id: UPX 3.91 Copyright (C) 1996-2013 the UPX Team. All Rights Reserved. $
Но я не знаю способа распаковать их, чтобы проверить, что будут делать двоичные файлы. Учитывая, где у вас этот файл, вам нужно будет решить, хотите ли вы рискнуть запустить их.
И если за это время сайт был закрыт, нет никаких гарантий, что он будет работать.
Вот несколько общих советов, как избежать заражения вредоносным ПО и других нарушений безопасности:
И в дополнение к вышесказанному: убедитесь, что у вас есть текущая резервная копия, которую вы можете восстановить.