Linux.Encoder 3 - третья версия популярного трояна-вымогателя


Linux.Encoder.3 — новая версия трояна-шифровальщика для операционной системы Linux, написанного на языке С с использованием криптографической библиотеки PolarSSL.

Linux.Encoder.3 проникает в домашнюю папку веб-сайтов, используя для этого шелл-скрипт, который злоумышленники внедряют в различные системы управления контентом с использованием неустановленных уязвимостей. Троян не требует для своей работы привилегий суперпользователя Linux — шифровальщик запускается с правами веб-сервера. Этого ему вполне достаточно, чтобы зашифровать все файлы в домашней директории сайта.

Отличие Linux.Encoder.3 от своих предшественников в том, что:

  • изменен режим шифрования: AES-CBC-256;
  • троянец восстанавливает даты создания и изменения файла на те, что были у него до шифрования.


Расширение зашифрованных файлов осталось прежним — .encrypted.

Напомним, в предыдущих версиях вымогателя присутствовала уязвимость в процессе генерации AES-ключей, используемых трояном. Тогда ошибка в конфигурации программного обеспечения позволяла извлечь AES-ключ без необходимости использования RSA-ключа, продаваемого оператором трояна. В третьей версии Linux.Encoder каждый экземпляр вредоносной программы использует собственный уникальный ключ шифрования, который создается на основе характеристик шифруемых файлов и значений, сгенерированных случайным образом. Так, ключ шифрования для каждого файла генерируется из двух буферов:

  • один — постоянный, создается на основе параметров шифруемого файла;
  • второй — на основе 32 случайных чисел, полученных последовательным вызовом системной функции rand().


Однако и здесь авторы вредоносного ПО забыли о таком важном моменте, как необходимость выбора алгоритма хеширования. В результате, все данные, обработанные хеш-функцией, остаются без изменений. Как итог полный AES-ключ теперь записывается в зашифрованный файл, благодаря чему восстановить информацию становится проще простого.

На сегодняшний день Linux.Encoder 3 поразил уже более 600 web-серверов по всему миру.

Тем не менее, разработчики Linux.Encoder и дальше продолжают совершенствовать программу и даже прислушиваются к советам специалистов в области информационной безопасности, высмеивающими ошибки вирусописателей.