En début de mois, Doctor Web donnait l'alerte suite à la découverte d'un ransomware prenant pour cible les systèmes Linux, et tout particulièrement les serveurs Web. Un récent décompte de l'éditeur russe de solutions de sécurité fait état de 2 000 sites Web victimes de Linux.Encoder.1.
Pour parvenir à ce chiffre, Doctor Web a simplement interrogé le moteur de recherche Google avec une requête : inurl:README_FOR_DECRYPT.txt. La commande inurl permet de limiter la recherche à l'URL dans les pages Web. Le fichier README_FOR_DECRYPT.txt est présent pour chaque répertoire du serveur affecté par Linux.Encoder.1.
Avec cette même méthode, on obtient désormais 3 000 résultats, et donc a priori autant de sites Web compromis. Selon Doctor Web, le ransomware infecte des sites Web via une vulnérabilité de sécurité non identifiée dans des solutions CMS. Les infections semblent surtout toucher des installations WordPress et Magento.
Bitdefender a pour rappel trouvé une faille majeure dans le processus de chiffrement malveillant de Linux.Encoder.1 et propose un outil gratuit de déchiffrement. Il est cependant à craindre Linux.Encoder.2 qui corrigera l'erreur de la première version du malware.