FairWare, un ransomware qui supprime les fichiers des serveurs Linux

Christophe Lagane,

FairWare s’attaque aux serveurs Linux en supprimant les fichiers du système. Ce qui n’empêche pas ses auteurs de réclamer une rançon pour les restituer.

Un nouveau ransomware s’attaque aux serveurs web sous Linux. Baptisé FairWare, cette menace se distingue, non pas par une méthode de chiffrement renforcée, mais en supprimant tout simplement les fichiers du système affecté. Ce qui n’empêche pas ses auteurs de réclamer une rançon permettant – soit-disant – de récupérer lesdites données.

C’est du moins la mésaventure qui vient d’arriver à une victime qui en témoigne sur le forum de Bleeping Computer.« Ma machine Linux a été piratée (…) avec un accès root et le répertoire www a été supprimé », raconte gonngetchu. En lieu et place du contenu de son répertoire effacé, il a trouvé le fichier READ_ME.txt dans le répertoire /root. Un fichier qui explique que « votre serveur a été infecté par Fairware » et qui réclame 2 bitcoins (un peu plus de 1000 euros) pour restituer les contenus. Le tout sous deux semaines.

Linux.Encoder en novembre

« Nous sommes les seuls au monde à pouvoir restituer vos fichiers !, ajoutent les attaquants. Lorsque votre serveur a été piraté, les fichiers ont été chiffrés et envoyés à un serveur que nous contrôlons. » Comme le note Lawrence Abrams, créateur et dirigeant de BleepingComputer, rien ne prouve que les fichiers seront effectivement restitués à leur propriétaire. Aucune précision n’est apportée par les pirates sur la méthodologie de restitution. Qui plus est, ils préviennent qu’ils ne répondront pas aux victimes qui souhaiteraient s’assurer que les fichiers sont bien en leur possession. « Bien que les victimes de ransomware devraient éviter de payer une rançon, si vous prévoyez de payer, il est suggéré de d’abord vérifier qu’ils ont vos fichiers », conseille Lawrence Abrams. Le mieux étant évidemment d’effectuer des sauvegardes régulières pour rester à l’abri de ce type d’attaque. Et de vérifier l’étanchéité du serveur.

FairWare n’est pas le premier rançongiciel à s’attaquer aux serveurs Linux. En novembre 2015, Linux.Encoder défrayait la chronique. Mais si le chantage au paiement était bien utilisé, le malware s’appuyait sur le chiffrement des fichiers pour inciter ses victimes à sortir leurs bitcoins. Néanmoins, les chercheurs en sécurité avaient rapidement trouvé une parade pour récupérer les fichiers chiffrés. Et la carrière de Linux.Encoder n’a guère fait long feu. FairWare lui succédera-t-il avec plus de succès ?

Lire également

Une variante de Locky se fait passer pour un fichier système Windows
Satana, un ransomware pire que Petya
Un ransomware inonde des millions d’utilisateurs d’Office 365

Photo credit: portalgda via Visualhunt.com / CC BY-NC-SA