Byte/RE ИТ-издание

Шифровальщик Linux.Encoder.2

По сообщению компании «Доктор Веб», троянец-шифровальщик для ОС Linux, получивший наименование Linux.Encoder.1, оказался не единственным — в последнее время стало известно как минимум еще о двух представителях этой группы шифровальщиков.

Эта вредоносная программа была добавлена в вирусные базы Dr.Web под вторым номером, хотя исторически она появилась раньше. Те мне менее она долго не попадала в поле зрения аналитиков антивирусных компаний. Кроме того, недавно одна из компаний – разработчиков антивирусного ПО опубликовала исследование другого троянца, названного Linux.Encoder.0, — предположительно самого первого в этой группе шифровальщиков. Linux.Encoder.2 начал распространяться в сентябре-октябре 2015 г., а уже затем появился Linux.Encoder.1.

Основные отличия этой модификации шифровальщика от Linux.Encoder.1 в том, что она использует другой генератор псевдослучайных чисел, для шифрования применяет библиотеку OpenSSL (а не PolarSSL, как в Linux.Encoder.1), шифрование осуществляет в режиме AES-OFB-128, при этом происходит повторная инициализация контекста каждые 128 байт, т. е. через 8 блоков AES.

По информации специалистов «Доктор Веб», все известные на сегодняшний день утилиты, предназначенные для расшифровки файлов, не удаляют внедренный злоумышленниками на инфицированный сервер шелл-скрипт, которым впоследствии могут воспользоваться киберпреступники для повторного заражения системы. Поэтому специалисты службы технической поддержки компании помогают всем пользователям, обратившимся за помощью в расшифровке файлов, очистить систему от вредоносных объектов. Сигнатура Linux.Encoder.2 добавлена в вирусные базы Антивируса Dr.Web для Linux.

Вам также могут понравиться