Encrypted website (Linux Ransomware)

Door fvdberg op dinsdag 9 februari 2016 10:26 - Reacties (8)
Categorie: Fixes, Views: 4.564

Help! Mijn website is niet meer bereikbaar.
Als ik naar de bestanden kijk staat overal .encrypted achter en in de root staat een bestandje met de naam README_FOR_DECRYPT.TXT met de volgende tekst er in:
Your personal files are encrypted! Encryption was produced using a unique public key RSA-2048 generated for this computer.

To decrypt files you need to obtain the private key.

The single copy of the private key, which will allow to decrypt the files, located on a secret server at the Internet. After that, nobody and never will be able to restore files...

To obtain the private key and php script for this computer, which will automatically decrypt files, you need to pay 0.5 bitcoin(s) (~210 USD).
Without this key, you will never be able to get your original files back.

______________________________________________

!!!!!!!!!!!!!!!!!!!!! PURSE FOR PAYMENT(ALSO AUTHORIZATION CODE): [#######] !!!!!!!!!!!!!!!!!!!!!
WEBSITE: [#######]

INSTRUCTION FOR DECRYPT:

After you made payment, you should go to website [#######]
Use purse for payment as ur authorization code ([#######]).
If you already did the payment, you will see decryption pack available for download,
inside decryption pack - key and script for decryption, so all what you need just upload and run that script ( for example: http://websitenaam/decrypt.php )

Also, at this website you can communicate with our supports and we can help you if you have any troubles,
but hope you understand we will not answer at any messages if you not able to pay.

!!!P.S. Our system is fully automatic, after payment you will receive you're decrypt pack IMMEDIATELY!!!

FAQ:
Q: How can I pay?
A: We are accept only bitcoins.

Q: Where to buy bitcoins?
A: We can't help you to buy bitcoins, but you can check link below: https://en.bitcoin.it/wik...oins_(the_newbie_version)

Q: I already bought bitcoins, where i should send it.
A: [#######]

Q: What gonna happen after payment?
A: Download button for decryption pack will be available after you made payment

Q: I pay, but still can't download decryption pack
A: You need to wait 3 confirmations for bitcoin transaction.

Q: How to use decryption pack?
A: Put all files from archive to your server and just run decrpyt.php (example: website.com/decrypt.php)

Q: Can I pay another currency?
A: No.
Moet ik nu betalen om mijn bestanden vrij te krijgen?

NEE

Hoe los je dit dan wel op?

1. Download encoder_3_decrypter.py bitdefender
2. Upload deze naar de root van je FTP.
voor directadmin is dat: /home/[gebruikersnaam]
3. Ga naar Putty
4. Log in met je gebruikersnaam en wachtwoord
5. Type:
code:
1
cd /home/[gebruikersnaam]

6. Type:
code:
1
 find $directory -type f -name "*.encrypted" > encrypted.txt

7. Open deze file en plak de inhoud in veld B van excel
8. Plaats in veld A de volgende tekst voor elke regel:
code:
1
 python encoder_3_decrypter.py

9. Kopieer de inhoud van het werkblad en plak deze in notepad++
10. Selecteer de ruimte tussen python encoder_3_decrypter.py en het pad naar het bestand en ga naar zoeken -> vervangen
11. Zet in het vervangen door 1 spatie en druk op alles vervangen
de regel ziet er nu zo uit:
code:
1
python encoder_3_decrypter.py /home/[gebruikersnaam]/domains/[domeinnaam]/public_html/components/com_contact/models/featured.php.encrypted

12. Sla dit op als decrypt.sh
13. Kopieer decrypt.sh naar de root van je ftp
14. Voer deze uit met
code:
1
 ./decrypt.sh

15. Verwijder nu alle .encrypted bestanden recursief met het volgende commando:
code:
1
 find . -name "*.encrypted" -type f -delete

Nu hebben we nog 2 problemen
16. Verwijder bij elk bestand de laatste regel. deze is niet goed gedecrypt. dit doe je met het volgende commando:
code:
1
 find . -name "*.*" -type f -exec sed -i "\$d" '{}' \;

17. Zet de rechten opnieuw of vraag je host om dit te doen

Voor directadmin:
code:
1
2
3
 for i in `ls`; do { chown -R $i:$i $i; }; done;
/usr/local/directadmin/scripts/set_permissions.sh all
/etc/init.d/directadmin restart

Nu is je website weer bereikbaar en schoon!

Vergeet niet om al je inlog gegevens aan te passen!
Dus email, web, ftp. directadmin...

Doe je dit niet dan loop je de kans dat je nogmaals slachtoffer wordt.

Volgende: Data recovery van Synology nadat de (NTFS) Volumes/LUNs zijn verwijderd 02-'16 Data recovery van Synology nadat de (NTFS) Volumes/LUNs zijn verwijderd

Reacties


Door Tweakers user Johan9711, dinsdag 9 februari 2016 10:34

Je vergeet het virus te verwijderen :+

Door Tweakers user fvdberg, dinsdag 9 februari 2016 10:38

PEBKAC bedoel je :+

Het "virus" zit in dit geval niet op de website maar is een stuk ransomware het systeem van de "gebruiker" die de inlog gegevens uit leest uit bijvoorbeeld Filezilla

(daarom: gebruik WinSCP en sla je wachtwoord NOOIT OP!)

Rondje cleanen met Hitmanpro en Malware Byte's Anti Malware is aan te raden.

[Reactie gewijzigd op dinsdag 9 februari 2016 10:44]


Door Tweakers user Blokker_1999, dinsdag 9 februari 2016 11:22

Leuk, dan pak je het probleem van je encrypted site aan, maar vergeet je niets? Hoe zijn ze binnen geraakt en waarom neem je daar geen maatregelen tegen?

Een server die compromised is krijgt van mij gewoon een wipe en een reinstall waarna een backup terug gaat. Ben je tenminste zeker dat er geen backdoor achter blijft.

Door Tweakers user fvdberg, dinsdag 9 februari 2016 11:35

Er zijn inderdaad vergelijkbare situaties waarbij in de *.php bestanden een stukje code wordt geïnjecteerd

Maar in dit geval zijn de bestanden op de laatste regel na van binnen niet geraakt i

Die laatste regel is meer een issue in de decryptie tool van bitdefender.

In het geval dat je een recente back up hebt is dat uiteraard altijd de beste weg.
Maar hoe weet je zeker dat hier ook al niet een backdoor in aanwezig is?

Het gaat hier ook helemaal niet om een server die compromised is, maar een gebruikersaccount waar simpelweg het FTP account van is uitgelekt.

wanneer de server goed opgebouwd is gebeurt er buiten dit account niets op de rest van de server.

Wachtwoorden aanpassen i.c.m. een stukje instructie over FTP cliënts en adviseren om de systemen even goed te scannen is in dit geval voldoende.

Overigens komen er over het onderwerp maatregelen om injecties te voorkomen ook nog wat howto's online binnenkort.

[Reactie gewijzigd op dinsdag 9 februari 2016 11:52]


Door Tweakers user cyberstalker, woensdag 10 februari 2016 09:29

Dit is een mooi voorbeeld waarom het superonhandig is om je website via FTP te beheren. Veel handiger is het om gewoon een versioning system te gebruiken (zoals bijvoorbeeld git of svn) en daarop je wijzigingen steeds te committen. Via hooks kun je deze dan automatisch in je webroot zetten.

Krijg je dan deze derrie dan rol je gewoon terug naar de laatste juiste versie.

Door Tweakers user Elite25, woensdag 10 februari 2016 09:36

Ik ben het eens met Blokker_1999. Reinstall en backup terugzetten is toch belangrijk in zo'n geval. Als je geen backup hebt gemaakt, Okay dan is het een methode de bestanden terug te krijgen die je wel gebackupt wil hebben.

Door M33P, woensdag 10 februari 2016 11:20

Uiteraard is een wipe en restore beter. Maar ach ik ben wel van het prullen en stoeien. Ik waardeer de input van de poster dan ook gewoon. Helaas heerst in de IT altijd nog de beterweter-cultuur en wordt er zelden iemand bedankt voor de moeite.

Door Tweakers user CodeCaster, donderdag 18 februari 2016 12:23

M33P schreef op woensdag 10 februari 2016 @ 11:20:
Uiteraard is een wipe en restore beter. Maar ach ik ben wel van het prullen en stoeien. Ik waardeer de input van de poster dan ook gewoon. Helaas heerst in de IT altijd nog de beterweter-cultuur en wordt er zelden iemand bedankt voor de moeite.
Dat heeft hopelijk niet zo veel met betweterigheid te maken, maar meer met best practices. "Prullen en stoeien" horen niet bij een server die aan het internet hangt, want voor je het weet heb je er een spamserver, open proxy of malwarehoster bij.

[Reactie gewijzigd op donderdag 18 februari 2016 19:28]


Om te kunnen reageren moet je ingelogd zijn. Via deze link kun je inloggen als je al geregistreerd bent. Indien je nog geen account hebt kun je er hier één aanmaken.