«Доктор Веб» обнаружил очередной троян-шифровальщик для Linux

Безопасность Пользователю
мобильная версия
, Текст: Татьяна Короткова

Компания «Доктор Веб» исследовала троян-шифровальщик для ОС Linux Linux.Encoder.2. Об этом CNews сообщили в «Доктор Веб».

Несмотря на то, что данная вредоносная программа была добавлена в вирусные базы Dr.Web под вторым номером, исторически она появилась раньше, однако в течение длительного времени не попадала в поле зрения аналитиков антивирусных компаний. Более того, недавно одна из компаний-разработчиков антивирусного ПО опубликовала исследование другого трояна, названного ею Linux.Encoder.0. Предположительно, он является самым первым в этой группе шифровальщиков, Linux.Encoder.2 начал распространяться чуть позже, в сентябре-октябре 2015 г., а уже затем появился Linux.Encoder.1.

По информации «Доктор Веб», модификацию Linux.Encoder.2 от Linux.Encoder.1 отличает то, что она использует другой генератор псевдослучайных чисел, для шифрования применяет библиотеку OpenSSL (а не PolarSSL, как в Linux.Encoder.1). Шифрование троян осуществляет в режиме AES-OFB-128, при этом происходит повторная инициализация контекста каждые 128 байт, то есть через 8 блоков AES. Также в Linux.Encoder.2 имеется ряд других существенных отличий от альтернативной реализации этого энкодера.

Как указали в компании, все известные на сегодняшний день утилиты, предназначенные для расшифровки файлов, не удаляют внедренный злоумышленниками на инфицированный сервер шелл-скрипт, которым впоследствии могут воспользоваться киберпреступники для повторного заражения системы. Поэтому специалисты службы технической поддержки «Доктор Веб» помогают всем обратившимся за помощью в расшифровке файлов пользователям очистить систему от посторонних вредоносных объектов и обезопасить ее от возможных атак с использованием этого скрипта в будущем.

Сигнатура Linux.Encoder.2 добавлена в вирусные базы «Антивируса Dr.Web для Linux». Специалисты «Доктор Веб» разработали методику расшифровки файлов, поврежденных в результате действия этой вредоносной программы. Услуги по расшифровке файлов оказываются только обладателям коммерческих лицензий на антивирусные продукты Dr.Web. Компания при этом не дает полной гарантии расшифровки всех поврежденных в результате действия энкодера файлов.