Специалисты из компании «Доктор Веб» сообщили, что в сети распространяется троян-шифровальщик, который может заражать компьютеры с операционной системой Linux. Судя по выбору тех каталогов, в которых вирус шифрует файлы, напрашивается вывод, что создатели трояна намерены заражать устройства администраторов, на которых запущены веб-сервера для личного использования. В компании «Доктор Веб» утверждают, что атаке подверглись уже десятки пользователей. В вирусной базе данных «Доктора Веб» новый троян маркируется как Linux.Encoder.1. После процедуры запуска с правами администратора вирус загружает файлы, в которых прописаны требования его создателей, а также документ, в котором обозначен путь к публичному RSA-ключу. После этого он запускается как демон и начинает удаление исходных документов. В дальнейшем в данном RSA-ключе сохраняются AES-ключи, которые используются вирусом для шифрования данных на зараженном ПК. Первыми под шифрование попадают файлы из домашних каталогов и тех каталогов, которые задействованы при администрировании веб-ресурсов. После этой процедуры вирус в рекурсивном порядке начинает обход всей файловой системы, начиная с каталога, в котором локализируется исходный файл. Дальше он переходит в корневой каталог «/». Происходит шифрование файлов, которые имеют расширение, указанное вирусописателями, и только тех, чьи названия начинаются с заданных создателями трояна начальных символов. Расширение зараженных файлов преобразуются – в .encrypted. После завершения процедуры в каждом каталоге с зашифрованными данными размещается документ – в нем прописаны требования преступников: оплатить за расшифровку данных 1 Bitcoin, который равняется 420 американским долларам. Языком для написания программы послужил Си. Процедура блокировки доступа к данным реализуется через шифрование по открытым ключами инструментами из библиотеки PolarSSL.
Источник