Появился шифровальщик, ориентированный на Linux

Специалисты «Доктор Веб» предупреждают: от вредоносного ПО, шифрующего файлы, в наши дни не застрахован никто, включая пользователей Linux. Более того, обнаруженный ими троян Linux.Encoder.1 явно ориентирован на администраторов сайтов, на машине которых развернут собственный веб-сервер.

«Доктор Веб» сообщает, что стоит только запустить малварь с правами администратора, и Linux.Encoder.1 тут же загружает файлы с требованиями хакеров и файл, содержащий путь до публичного RSA-ключа, после чего запускает себя как демон и удаляет исходника. RSA-ключ в дальнейшем используется для хранения AES-ключей, с помощью которых троянец шифрует файлы на зараженном компьютере.

Интересно, что судя по поведению трояна, главная мишень его авторов – администраторы сайтов. Дело в том, что в первую очередь вредонос шифрует файлы в домашних каталогах пользователей и каталогах, относящихся к администрированию веб-сайтов. Только после этого Linux.Encoder.1 обходит всю остальную систему, начиная с каталога, из которого он был запущен, а следующим шагом — с корневого каталога «/». При этом шифруются файлы с расширениями из заданного списка и только при условии, что имя каталога начинается с одной из заданных вирусописателями строк.

Зашифрованные файлы получают новое расширение .encrypted. Требование заплатить выкуп в биткоинах троянец оставляет в каждом каталоге, содержащем зашифрованные файлы:

Фото: Images Money

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (5)

  • ...стоит только запустить малварь с правами администратора

    Круто! Это кем надо быть, что бы запускать непонятный софт под админом?

    • Во-во.

      Рассказали б всё-таки по-нормальному, как происходит акт заражения?

  • Был момент у меня украли пароль FTP доступа к сайту. Так вот в Убунту! Заражение ОС начиналось после подключения одного ДВД с музоном. Симптомы такие. Сначала диск резко раскручивался в приводе. После его изъятия система начинала "ждать". Если я НЕ вводил пароль рута (для ЛЮБЫХ приложений, которым он нужен) то все было ок. Но вот беда - нужно что то установить. Запускаем синаптик. Появляется запрос рут пароля. Все хорошо, кроме одного - пароль запрашивается ДВА раза подряд. Если не вводишь два раза, то синаптик не запускается вообще. Если вводишь, то спустя некоторое время сайт оказывается взломан. Опять чинить приходится. Вот такое "принуждение" к введению пароля рута.

    • Я когда электрический чайник включал у меня в холодильнике свет выключался, пока шел включать свет в туалете, чайник уже закипал и выключался, но воду из бочка я уже спустил, поэтому приходилось снова идти включать чайник, чтобы не остыл и ждать пока вода в бочке наберется. Вот такое принуждение к действию.

Похожие материалы