Специалисты «Доктор Веб» предупреждают: от вредоносного ПО, шифрующего файлы, в наши дни не застрахован никто, включая пользователей Linux. Более того, обнаруженный ими троян Linux.Encoder.1 явно ориентирован на администраторов сайтов, на машине которых развернут собственный веб-сервер.
«Доктор Веб» сообщает, что стоит только запустить малварь с правами администратора, и Linux.Encoder.1 тут же загружает файлы с требованиями хакеров и файл, содержащий путь до публичного RSA-ключа, после чего запускает себя как демон и удаляет исходника. RSA-ключ в дальнейшем используется для хранения AES-ключей, с помощью которых троянец шифрует файлы на зараженном компьютере.
Интересно, что судя по поведению трояна, главная мишень его авторов – администраторы сайтов. Дело в том, что в первую очередь вредонос шифрует файлы в домашних каталогах пользователей и каталогах, относящихся к администрированию веб-сайтов. Только после этого Linux.Encoder.1 обходит всю остальную систему, начиная с каталога, из которого он был запущен, а следующим шагом — с корневого каталога «/». При этом шифруются файлы с расширениями из заданного списка и только при условии, что имя каталога начинается с одной из заданных вирусописателями строк.
Зашифрованные файлы получают новое расширение .encrypted. Требование заплатить выкуп в биткоинах троянец оставляет в каждом каталоге, содержащем зашифрованные файлы:
Фото: Images Money
