Защити созданное

Другие наши ресурсы

  • free.drweb.kz — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.kz — сетевая лечащая утилита Dr.Web CureNet!
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка | Правила обращения

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Linux.Encoder.1

Добавлен в вирусную базу Dr.Web: 2015-11-05

Описание добавлено:

SHA1:

  • a5054babc853ec280f70a06cb090e05259ca1aa7 (x64, UPX)
  • 98e057a4755e89fbfda043eaca1ab072674a3154 (x64,unpacked)
  • 810806c3967e03f2fa2b9223d24ee0e3d42209d3 (x64, FreeBSD)
  • 12df5d886d43236582b57d036f84f078c15a14b0 (x86, UPX)
  • 5bd6b41aa29bd5ea1424a31dadd7c1cfb3e09616 (x86, unpacked)

Троянец-шифровальщик для Linux, написан на языке C с использованием криптографической библиотеки PolarSSL.

После запуска с правами администратора троянец загружает в память своего процесса файлы с требованиями вирусописателей:

  • ./readme.crypto — файл с требованиями;
  • ./index.crypto — файл с требованиями в формате html.

Аргументом троянцу передается путь до файла, содержащего публичный RSA-ключ.

После чтения содержимого файлов троянец удаляет их, запускает себя как демон и удаляет собственный исходный файл.

В первую очередь Linux.Encoder.1 шифрует все файлы в следующих каталогах:

/home
/root
/var/lib/mysql
/var/www
/etc/nginx
/etc/apache2
/var/log

Вслед за этим троянец шифрует все файлы в домашних каталогах пользователей. Затем Linux.Encoder.1 рекурсивно обходит всю файловую систему: в первую очередь каталог, из которого он был запущен, а затем корневой каталог «/». Шифрование выполняется только для каталогов, название которых начинается с одной из следующих строк:

public_html
www
webapp
backup
.git
.svn

При этом шифруются только файлы со следующими расширениями:

".php", ".html", ".tar", ".gz", ".sql", ".js", ".css", ".txt" ".pdf", ".tgz", ".war", ".jar", ".java", ".class", ".ruby", ".rar" ".zip", ".db", ".7z", ".doc", ".pdf", ".xls", ".properties", ".xml" ".jpg", ".jpeg", ".png", ".gif", ".mov", ".avi", ".wmv", ".mp3" ".mp4", ".wma", ".aac", ".wav", ".pem", ".pub", ".docx", ".apk" ".exe", ".dll", ".tpl", ".psd", ".asp", ".phtml", ".aspx", ".csv"

Файлы в следующих каталогах не подвергаются шифрованию:

/
/root/.ssh
/usr/bin
/bin
/etc/ssh

Для шифрования каждого файла генерируется собственный AES-ключ. Шифрование выполняется в режиме AES-CBC-128, зашифрованные файлы получают расширение .encrypted. В каждом каталоге с зашифрованными файлами троянец размещает файл README_FOR_DECRYPT.txt с требованиями выкупа за расшифровку файлов.

При запуске расшифровки Linux.Encoder.1 использует полученный от вирусописателей приватный RSA-ключ для получения AES-ключей из зашифрованных файлов, перебирает каталоги в той же последовательности, что и при шифровании, удаляет файлы README_FOR_DECRYPT.txt и пытается расшифровать все файлы с расширениями .ecnrypted.

В настоящее время специалисты компании «Доктор Веб» разработали технологию, позволяющую расшифровать данные, зашифрованные вредоносной программой.

Рекомендации по лечению


Linux

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру