Руската компания, предоставяща услуги и продукти в областта на антивирусната и интернет защита „Др.Уеб“, се е натъкнала на зловредна криптираща заплаха, насочена към Линукс машини.
Засега не е ясно как малуерът се разпространява и инсталира на машините на жертвата, предават от Security Week. Веднъж заразила устройството, заплахата сваля на машината няколко файла, сред които файла с исканията на организатора на атаката и файл, съдържащ публичния RSA ключ, помещаващ AES ключовете, използвани за криптиране на данните. След това, зловредната програма, която е написана на C и възползваща се от PolarSSL библиотеката, се стартира като демон и изтрива оригиналните файлове. Заплахата криптира данни от домашната и кореновата директория и търси да криптира файлове, свързани с уеб сървъри и администриране на уеб ресурси, в това число: /var/lib/mysql, /var/www, /etc/nginx, /etc/apache, /var/log, public_html, www, webapp, backup, .git и .svn. Освен това, Linux.Encoder.1, каквото име са дали на заплахата от руската компания, търси файлове, свързани с разработката на уеб съдържание, документи, приложения и медийни файлове.
Специалистите обясняват, че за целите на криптирането на данните, троянската програма генерира AES ключ, заключвайки данните посредством AES-CBC-128 алгоритъм, прикрепяйки към името на файла разширение „.encrypted“.
„Др. Уеб“ работят по решение, което би възстановило криптираните файлове. По данни на компанията, жертвите на заплахата са „десетки“, но не назовават точния брой на откритите от тях компрометирани машини.