Sono di poche ore fa le segnalazioni delle prime vittime di questo nuovo virus: FairWare Ransomware.
Si tratta di un virus (apparentemente) progettato per colpire i server Linux.
Il comportamento di questo virus è il seguente:
– attacca un server Linux;
– cancella le cartelle che ospitano il sito web;
– infine chiede un riscatto per riottenere i propri file indietro.
Non pare quindi esserci un problema di crittografia, ma di cancellazione dei file, per riottenere i quali viene chiesto un riscatto.
Probabilmente il virus prima di cancellare i file li carica su qualche server sotto il controllo degli hacker, per poterli poi restituire dietro pagamento del riscatto, ma questa è una mia ipotesi.
Le prime vittime si sono accorte del virus perché i loro siti non rispondevano più. A una successiva analisi, è risultato che il contenuto della cartella che conteneva il sito web era sparito e in /root/ c’era un file READ_ME.txt con le istruzioni per pagare il riscatto.
Al momento le opzioni migliori per difendersi sono:
– disabilitare l’accesso SSH allo stretto indispensabile;
– assicurarsi di avere i backup delle cartelle del sito web;
– monitorare la banda per verificare se c’è un traffico eccessivo rispetto allo standard.
Se “mastichi” l’inglese, puoi controllare i commenti che stanno arrivando in tempo reale sul sito di Bleepingcomputer.
Aggiornamento 01/09/2016: pare che FairWare sia più uno scherzo di pessimo gusto che un reale e il vero problema sia un attacco ai server che ospitano Redis.
I server che ospiano Redis infatti possono essere attaccati e gli hacker possono installare un tool SSH proprietario grazie al quale possono fare quello che vogliono.
Poiché chi ha fatto le prime segnalazioni del virus FairWire è risultato possedere server Redis è abbastanza palese che c’è una relazione fra le due cose.
Ulteriori dettagli sull’attacco ai server Redis e alle sue relazioni con il presunto virus puoi trovarlo in questo articolo.
Consiglio a chiunque ricevesse un attacco su server Linux di non pagare nessun riscatto, perchè i files non vengono trasferiti su altri server, bensì cancellati definitivamente al momento dell’intrusione. Lo dico per esperienza diretta, alcune settimane fa abbiamo subito un attacco identico a quello descritto nel post su un server linux e Redis installato. Abbiamo pagato il riscatto, ma non abbiamo ottenuto nulla in cambio
Grazie mille della tua testimonianza, Mario.