Еще не успели отгреметь обсуждения первого трояна-шифровальщика, ориентированного на системы Linux (Linux.Encoder.1), а специалисты компании «Доктор Веб» уже сообщают, что обнаружили вторую версию вредоноса.
«Доктор Веб» сообщает, что стало известно как минимум еще о двух представителях данной группы шифровальщиков. Пока специалисты компании рассказали о результатах анализа одного из них, он получил имя Linux.Encoder.2.
Хотя вторая версия трояна была добавлена в вирусные базы под номером два, она появилась раньше Linux.Encoder.1. Дело в том, что «вторая версия» долгое время не попадала в поле зрения аналитиков антивирусных компаний. Кроме того, недавно компания Bitdefender опубликовала исследование другого вредоноса, названного Linux.Encoder.0. Его специалисты «Доктор Веб» предлагают считать самым первым в этом семействе шифровальщиков, так как Linux.Encoder.2 начал распространяться чуть позже (в сентябре-октябре 2015 года), а уже затем появился Linux.Encoder.1.
Linux.Encoder.2 отличается от Linux.Encoder.1 тем, что, в частности использует другой генератор псевдослучайных чисел, для шифрования применяет библиотеку OpenSSL (а не PolarSSL, как в Linux.Encoder.1), шифрование осуществляет в режиме AES-OFB-128, при этом происходит повторная инициализация контекста каждые 128 байт, то есть через 8 блоков AES. Также в Linux.Encoder.2 имеется ряд других существенных отличий от альтернативной реализации этого энкодера.
Специалисты «Доктор Веб» напоминают, что все известные на сегодня утилиты, предназначенные для расшифровки файлов, не удаляют внедренный злоумышленниками на инфицированный сервер шелл-скрипт, которым впоследствии могут воспользоваться киберпреступники для повторного заражения системы.
Зашифрованные файлы можно вернуть, не выплачивая выкуп злоумышленникам. Платные подписчики программ Dr. Web Security Space и Dr. Web Enterprise Security Suite могут обратиться за восстановлением данных в службу поддержки компании. Более того, специалисты Bitdefender опубликовали бесплатный инструмент, при помощи которого можно расшифровать информацию самостоятельно.
Взято с Xakep.ru