服务器被一些 Crypto Locker 攻击

服务器被一些 Crypto Locker 攻击

我的服务器 (CentOS) 最近被一些加密黑客入侵。他们加密了我的所有文件,并要求支付赎金才能解密文件。他们在所有文件夹中都保存了一条消息,开头是这样的

您的个人文件已加密!加密是使用为这台计算机生成的唯一公钥 RSA-2048 生成的。
要解密文件,您需要获取私钥。
私钥的单一副本位于互联网上的秘密服务器上,可用于解密文件。此后,任何人都无法恢复文件……
要获取这台计算机的私钥(可自动解密文件),您需要支付 1 比特币(约 240 美元)。没有密钥,您将永远无法恢复原始文件……

现在他们已经将解密密钥发送给我,但我仍然不知道该如何恢复我的文件。有人能帮我吗?
他们可能利用了哪些漏洞?还有其他提示/指示可以避免未来的威胁吗?提前致谢。

编辑:他们向我发送了一个带有私钥的 PHP 脚本,我应该将其上传到服务器并通过 URL 运行。这里这是他们发给我的解密文件。

答案1

以下是一些避免恶意软件感染和其他安全漏洞的一般提示:

  • 保持系统更新
  • 尽可能以非特权用户身份工作,并使用 sudo(或类似)执行管理命令
  • 不要禁用 SELinux
  • 不要打开电子邮件等中的链接,除非你信任其来源
  • 禁用你不需要/不使用的服务
  • 至少在网络边缘运行防火墙
  • 手动或借助入侵检测系统监控日志文件中是否存在可疑活动

除上述内容外:请确保您拥有可以恢复的最新备份。

答案2

如果您提取 3 行 $so32、$so64 和 $so,然后对其进行解码,您将获得 3 个二进制文件。

我通过简单地删除这些行之间的 PHP 代码来提取它们,然后将其“转换”为基本上将它们写入文件的 bash 脚本。

就像是:

so32="f0VMRgEBAQMA..."
so64="f0VMRgEBAQMA..."
so="f0VMRgEBAQMA..."
echo $so32 | base64 --decode > /tmp/so.decoded
echo $so64 | base64 --decode > /tmp/so32.decoded
echo $so | base64 --decode > /tmp/so64.decoded

它们似乎是UPX 加壳的二进制文件至少根据本文与 cryptolocker 解码应用程序匹配。

file /tmp/so*
/tmp/so32.decoded: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, stripped
/tmp/so64.decoded: ELF 64-bit LSB executable, x86-64, version 1 (GNU/Linux), statically linked, stripped
/tmp/so.decoded:   ELF 64-bit LSB executable, x86-64, version 1 (FreeBSD), statically linked, for FreeBSD 10.1, not stripped
strings /tmp/so64.decoded -n 30
$Info: This file is packed with the UPX executable packer http://upx.sf.net $
$Id: UPX 3.91 Copyright (C) 1996-2013 the UPX Team. All Rights Reserved. $

但我不知道有什么方法可以解压这些文件来检查二进制文件会做什么。考虑到你从哪里得到这个文件,你必须决定是否要冒险运行这些文件。

如果该网站在此期间被关闭,则无法保证它是否还能正常运作。

相关内容