Новому году – новый шифровальщик для Linux

Как сообщила компания «Доктор Веб», в начале наступившего года была обнаружена новая версия троянца-шифровальщика для ОС Linux. Исследованный специалистами компании образец энкодера, получивший наименование Linux.Encoder.3, имеет несколько заметных отличий от своих предшественников.

Судя по всему, вирусописатели учли допущенные авторами ошибки в коде Linux.Encoder.1, на которые было указано в публикациях одной западной антивирусной компании, и оперативно устранили их. Как и предыдущие версии Linux.Encoder, новый троянец проникает в домашнюю папку сайтов с использованием шелл-скрипта, который злоумышленники внедряют в системы управления контентом с использованием неустановленных уязвимостей. Linux.Encoder.3 не требует для своей работы привилегий суперпользователя Linux – троянец запускается с правами Web-сервера, которых ему вполне достаточно для того, чтобы зашифровать все файлы в домашней директории сайта. На сегодняшний день в компанию «Доктор Веб» уже обратилось несколько пострадавших от действия Linux.Encoder.3 владельцев интернет-ресурсов.

Изменился используемый троянцем алгоритм шифрования, однако расширение зашифрованных файлов осталось прежним – .encrypted. В отличие от предыдущих версий шифровальщика Linux.Encoder.3 способен запоминать дату создания и изменения исходного файла и подменять ее для измененных им файлов значениями, которые были установлены до шифрования. Каждый экземпляр вредоносной программы использует собственный уникальный ключ шифрования, создаваемый на основе характеристик шифруемых файлов и значений, сгенерированных случайным образом.

Ряд архитектурных особенностей Linux.Encoder.3 позволяет расшифровывать файлы, поврежденные в результате действия этой программы. Однако в ближайшее время весьма вероятно появление очередной версии Linux.Encoder, модифицированной с целью затруднить расшифровку поврежденных программой файлов.