Обнаружена новая версия трояна-шифровальщика для Linux

«Доктор Веб» предупреждает о появлении новой вредоносной программы семейства Linux.Encoder, шифрующей файлы в Linux-системах с целью последующего получения выкупа за восстановление доступа к ним.

О первой версии зловреда мы недавно рассказывали: она поразила более 2000 сайтов в Интернете. Теперь эксперты провели анализ шифровальщика Linux.Encoder.2, который, на деле, появился раньше первой версии, но долгое время оставался незамеченным.

Среди основных отличий этой модификации шифровальщика от Linux.Encoder.1 специалисты выделяют то, что она использует другой генератор псевдослучайных чисел и для шифрования применяет библиотеку OpenSSL (а не PolarSSL, как в Linux.Encoder.1). Кодирование осуществляется в режиме AES-OFB-128, при этом происходит повторная инициализация контекста каждые 128 байт, то есть через 8 блоков AES. Также в Linux.Encoder.2 имеется ряд других существенных отличий от альтернативной реализации этого зловреда.

Важно отметить, что все известные на сегодняшний день утилиты, предназначенные для расшифровки файлов, не удаляют внедрённый злоумышленниками на инфицированный сервер шелл-скрипт. Это даёт киберпреступникам возможность осуществить повторное заражение системы.