サーバー内のファイルを暗号化！ README_FOR_DECRYPT身代金ランサムウェアLinux.Encoder

サーバー内のファイルを暗号化！ README_FOR_DECRYPT身代金ランサムウェアLinux.Encoder

Linux をターゲットに、Webサイトを運用してるサーバー上のファイルを暗号化して身代金をせびる ランサムウェア（身代金型ウイルス） が確認されてるそう。

■ Linuxユーザーを脅かす暗号化ランサムウェア Linux.Encoder.1 - Dr.Web
http://news.drweb.co.jp/show/?i=940

■ 約2,000のwebサイトがLinux.Encoder.1に感染 - Dr.Web
http://news.drweb.co.jp/show/?i=944

■ Ransomware warning - Importance of Back-ups - Nimbus Hosting
https://www.nimbushosting.co.uk/blog/ransomware-warning-importance-of-back-ups

Linux系OSをインストールしたパソコンを狙うワケではなく、CMSの Magento や WordPress に絡む脆弱性を突いてサーバー内に攻撃者が侵入し、暗号化処理を実行するELFファイルを仕掛けていく手口みたい。

□ Linuxサーバー向けランサムウェアウイルス検出名

avast! ELF:Filecoder
AVG Linux/Encoder.A
BitDefender Trojan.Linux.Ransom.A
Dr.Web Linux.Encoder.1
ESET Linux/Filecoder.A
Kaspersky Trojan-Ransom.Linux.Cryptor.a
McAfee Linux/Ransom
Microsoft Ransom:Linux/Crypnux.A

Sophos Linux/Ransm-C
Symantec Unix.Ransomcrypt Unix.Ransomcrypt.B

Trend Micro ELF_CRYPTOR.A RANSOM_CRYPTOR.B

身代金要求ファイル

攻撃を行ったサーバー上には、脅迫文が書かれたテキストファイル README_FOR_DECRYPT.txt が作成され、仮想通貨ビットコインで身代金1BTC（＝5万円ほど）や0.5BTCを支払うよう要求してます。

Your personal files are encrypted! Encryption was produced using a unique public key RSA-2048 generated for this computer.
To decrypt files you need to obtain the private key.
The single copy of the private key, which will allow to decrypt the files, located on a secret server at the Internet. After that, nobody and never will be able to restore files...
To obtain the private key and php script for this computer, which will automatically decrypt files, you need to pay 1 bitcoin(s) (~420 USD).
Without this key, you will never be able to get your original files back.
______________________________________________
!!!!!!!!!!!!!!!!!!!!! PURSE FOR PAYMENT(ALSO AUTHORIZATION CODE): ＊＊＊＊＊＊＊ !!!!!!!!!!!!!!!!!!!!!
WEBSITE: http：//l4zd5dbd74wnle3l.onion[.]to
（～以下略～）

キーワード『README_FOR_DECRYPT.txt』でググってみると、このランサムウェア Linux.Encoder に殺られてるっぽい海外サイトのディレクトリの状態を結構たくさん確認できます。