Стало известно о появлении нового криптоблокера, который нацелился на системы под управлением Linux. В результате атаки уже пострадали десятки пользователей.

Поселившись в компьютере жертвы, зловред Linux.Encoder.1 шифрует файлы, а затем требует выкуп в криптовалюте. На данный момент злоумышленники оценивают возможность вернуть файлы в 1 биткойн (приблизительно 25 тыс. рублей). По имеющимся сведениям, при получении выкупа киберпреступники предоставляют ключи пострадавшим, но при этом нет гарантий того, что вирус удаляется с компьютера и не способен атаковать еще раз.

В основном данный блокер нацелен на администраторов сайтов с собственными веб-серверами. Он написан на языке C с использованием криптографической библиотеки PolarSSL.

Если Linux.Encoder.1 запускается под правами администратора, он загружает файл с требованиями злоумышленников, а также файл, содержащий путь до публичного RSA-ключа, после чего запускает себя как демон и удаляет исходные файлы. В свою очередь, данный RSA-ключ используется для хранения AES-ключей, с помощью которых троян шифрует файлы на зараженном компьютере.

В первую очередь зловред кодирует файлы в папках /home, /root, /var/lib/mysql, /var/www, /etc/nginx, /etc/apache2 и /var/log. Затем он приступает к шифрованию файлов в домашних каталогах пользователей и рекурсивно обходит всю файловую систему. При этом Linux.Encoder.1 оперирует готовым списком расширений и списком каталогов, названных по начальной строке.

На настоящий момент зловред детектируют менее половины антивирусов из коллекции VirusTotal. В «Лаборатории Касперского» уточнили, что с 7 ноября антивирусы компании детектируют данного блокера как Trojan-Ransom.Linux.Cryptor и Trojan-Ransom.FreeBSD.Cryptor.

Категории: Вредоносные программы, Главное