Специалисты «Доктор Веб» предупреждают: от вредоносного ПО, шифрующего файлы, в наши дни не застрахован никто, включая пользователей Linux. Более того, обнаруженный ими троян Linux.Encoder.1 явно ориентирован на администраторов сайтов, на машине которых развернут собственный веб-сервер.

«Доктор Веб» сообщает, что стоит только запустить малварь с правами администратора, и Linux.Encoder.1 тут же загружает файлы с требованиями хакеров и файл, содержащий путь до публичного RSA-ключа, после чего запускает себя как демон и удаляет исходника. RSA-ключ в дальнейшем используется для хранения AES-ключей, с помощью которых троянец шифрует файлы на зараженном компьютере.

Интересно, что судя по поведению трояна, главная мишень его авторов – администраторы сайтов. Дело в том, что в первую очередь вредонос шифрует файлы в домашних каталогах пользователей и каталогах, относящихся к администрированию веб-сайтов. Только после этого Linux.Encoder.1 обходит всю остальную систему, начиная с каталога, из которого он был запущен, а следующим шагом — с корневого каталога «/». При этом шифруются файлы с расширениями из заданного списка и только при условии, что имя каталога начинается с одной из заданных вирусописателями строк.

Зашифрованные файлы получают новое расширение .encrypted. Требование заплатить выкуп в биткоинах троянец оставляет в каждом каталоге, содержащем зашифрованные файлы:

Encoder

Фото: Images Money 



5 комментариев

  1. flekst

    09.11.2015 at 11:22

    …стоит только запустить малварь с правами администратора

    Круто! Это кем надо быть, что бы запускать непонятный софт под админом?

  2. maxrexfax

    15.11.2015 at 20:45

    Был момент у меня украли пароль FTP доступа к сайту. Так вот в Убунту! Заражение ОС начиналось после подключения одного ДВД с музоном. Симптомы такие. Сначала диск резко раскручивался в приводе. После его изъятия система начинала «ждать». Если я НЕ вводил пароль рута (для ЛЮБЫХ приложений, которым он нужен) то все было ок. Но вот беда — нужно что то установить. Запускаем синаптик. Появляется запрос рут пароля. Все хорошо, кроме одного — пароль запрашивается ДВА раза подряд. Если не вводишь два раза, то синаптик не запускается вообще. Если вводишь, то спустя некоторое время сайт оказывается взломан. Опять чинить приходится. Вот такое «принуждение» к введению пароля рута.

    • BOMBERuss

      25.11.2015 at 21:02

      Я когда электрический чайник включал у меня в холодильнике свет выключался, пока шел включать свет в туалете, чайник уже закипал и выключался, но воду из бочка я уже спустил, поэтому приходилось снова идти включать чайник, чтобы не остыл и ждать пока вода в бочке наберется. Вот такое принуждение к действию.

Оставить мнение