Come ripristinare i file da Linux.Encoder.3
7 Gennaio 2016 - Tempo di lettura: 4 minuti
Linux.Encoder.3 è la terza variante di un ransomware, ovvero un malaware che riesce, tramite alcune falle presenti nei più comuni CMS per contenuti Web (Magento, WordPress e Joomla), a entrare nel sistema Linux che ospita il server web che offre tali contenuti (di solito), e in automatico cripta tutti i file contenuti nelle cartelle relative ad Apache (/var/www di solito) con permessi “www-data“. Dopo il suo passaggio tutti i servizi che quel server prima offriva ora non funzionano più perchè avendo criptato tutti i file che costruiscono quei siti, tali file non sono più utilizzabili.
C’è però una buona notizia, per cui è molto importante non ELIMINARE nessun file infetto, non modificarne alcun contenuto, permesso o utente. Bisogna assolutamente lasciarli intatti così come il virus li ha criptati.
Come decriptare i files infetti da ripristinare
Gli esperti dei Labs Bitdefender, stanno seguendo da anni questo ransomware rendendone ogni variante inutile grazie ai loro script che riescono a decriptare i danni provocati dal Linux.Encoder.3
Gestiscono le pagine di descrizione per questi virus e gratuitamente pubblicano gli script, rispondendo anche agli utenti che commentano, perchè in cerca di supporto, cercando di aiutarli nel loro intento di recuperare i dati apparentemente persi.
Da questo link potete scaricare l’ultimo script in python aggiornato per Linux.Encoder.3
Con questo script si riesce a decriptare un file che gli diamo in pasto criptato normalmente con estensione .encrypted
il comando è questo:
python encoder_3_decrypter.py il-tuo-file.php.encrypted
Nella maggior parte dei casi questo virus quando entra colpisce tutti i file con caratteristiche di vulnerabilità, e in molti casi significa anche avere molti file da decriptare, per cui abbiamo pensato di rendervi la vita più semplice, aggiungendo a questo script, un altro semplice bash che ripete questo comando per tutti i file che volete all’interno di una certa cartella (comprese tutte le sottocartelle).
Tutto quello che dovete fare e salvare in una cartella linux qualsiasi un file script.sh con questo contenuto:
#!/bin/bash
find /cartella/da/decriptare | while read file; do
python2.7 encoder_3_decrypter.py $file
done
Modificando poi “/cartella/da/decriptare” con la cartella che contiene i vostri file infetti. Se volete un ulteriore consiglio, per operare in sicurezza: non agite direttamente sui file originali, ma è conveniente copiare dalla cartella originale tutti i file che volete decriptare in un’altra cartella che vi consentirà di fare tutte le prove che volete.
Per fare questo però vi serve questo comando che non modifica il timestamp dei files:
cp -r -p /var/www/file-da-decriptare-originali /home/utente/cartella-di-destinazione
A questo punto con un semplice ./script.sh dopo che tutto è impostato dovreste riuscire a decriptare tutto, sia file di testo che immagini. Ricordate di aver installato Python versione 2.7 con il comando:
sudo apt-get install python2.7 python-crypto
Questo script di BitDefender che vi abbiamo presentato ha un piccolo bug nel modo in cui termina il file una volta decriptato, e aggiunge una stringa a caso esattamente alla fine di ogni file (o quasi, non proprio con tutti), senza però danneggiare in nessun modo il reale contenuto del file originale, che viene recuperato per intero, quindi ricontrollando poi il file recuperato, alla fine del file, cancellate la stringa casuale di 16 bit che vi ritrovate e il gioco è fatto.
