Исследователи из Malwarebytes обнаружили новый вариант первого в истории криптоблокера для GNU/Linux. Новобранец просит прощения у жителей стран, некогда входивших в СНГ, и изъявляет готовность расшифровать их файлы бесплатно.

Напомним, Linux.Encoder, как его нарекли в «Доктор Веб» (продукты «Лаборатории Касперского» детектируют его как Ransom.Linux.Cryptor и Trojan-Ransom.FreeBSD.Cryptor), появился на радарах антивирусных компаний в начале ноября. Он запускается под правами администратора и выполняет криптофункции так же, как и многие его Windows-собратья: вначале файл шифруется сгенерированным на месте ключом AES-128, получая расширение .encrypted, а затем этот криптоключ шифруется по алгоритму RSA. Приватный RSA-ключ при этом хранится у злоумышленников и пускается в ход (для расшифровки) лишь после уплаты выкупа.

В настоящее время вирусные аналитики различают три версии Linux.Encoder: 1 и 2, обнаруженные «Доктор Веб», и стартовую (0), датированную августом и проанализированную Bitdefender. Блокер Linux.Encoder.2, по свидетельству «Доктор Веб», отличается от первой версии тем, что использует другой генератор псевдослучайных чисел, а также другую библиотеку для шифрования — OpenSSL, а не PolarSSL, как прежде.

Более поздний сэмпл, обнаруженный Malwarebytes, характерен тем, что в его англоязычном сообщении с требованием выкупа содержится приписка на русском языке. Вымогатели извиняются перед жителями России и бывшего СНГ, заявляя, что готовы расшифровать файлы бесплатно — достаточно лишь откликнуться на указанный почтовый адрес:

Linux.Encoder - Malwarebytes(источник: Malwarebytes в передаче Help Net Security)

Единственный зафиксированный на данный момент способ распространения Linux.Encoder — через уязвимости в популярных CMS-платформах WordPress и Magento. Согласно статистике «Доктор Веб», к середине ноября новый криптоблокер сумел заразить свыше 2,9 тыс. Linux-машин, притом число жертв продолжает расти, как и аппетиты вымогателей. Вначале они взимали за расшифровку $50 в биткойнах, теперь эта сумма возросла до $500, а в отдельных случаях составляет $999.

В заключение стоит отметить, что эксперты Bitdefender обнаружили катастрофический для злоумышленников недочет в реализации генератора AES-ключей Linux.Encoder: эти ключи создаются на основе текущей временной метки на момент шифрования. Такое упущение позволило экспертам написать рабочий скрипт для расшифровки, которому не нужен приватный ключ RSA; спасительный инструмент, обновленный с учетом эволюции зловреда, предлагается жертвам Linux.Encoder на безвозмездной основе. Компания «Доктор Веб» также готова оказать помощь по расшифровке, но лишь своим клиентам.

Категории: Вредоносные программы