SHA1:
- a5054babc853ec280f70a06cb090e05259ca1aa7 (x64, UPX)
- 98e057a4755e89fbfda043eaca1ab072674a3154 (x64,unpacked)
- 810806c3967e03f2fa2b9223d24ee0e3d42209d3 (x64, FreeBSD)
- 12df5d886d43236582b57d036f84f078c15a14b0 (x86, UPX)
- 5bd6b41aa29bd5ea1424a31dadd7c1cfb3e09616 (x86, unpacked)
Троянец-шифровальщик для Linux, написан на языке C с использованием криптографической библиотеки PolarSSL.
После запуска с правами администратора троянец загружает в память своего процесса файлы с требованиями вирусописателей:
- ./readme.crypto — файл с требованиями;
- ./index.crypto — файл с требованиями в формате html.
Аргументом троянцу передается путь до файла, содержащего публичный RSA-ключ.
После чтения содержимого файлов троянец удаляет их, запускает себя как демон и удаляет собственный исходный файл.
В первую очередь Linux.Encoder.1 шифрует все файлы в следующих каталогах:
/home
/root
/var/lib/mysql
/var/www
/etc/nginx
/etc/apache2
/var/logВслед за этим троянец шифрует все файлы в домашних каталогах пользователей. Затем Linux.Encoder.1 рекурсивно обходит всю файловую систему: в первую очередь каталог, из которого он был запущен, а затем корневой каталог «/». Шифрование выполняется только для каталогов, название которых начинается с одной из следующих строк:
public_html
www
webapp
backup
.git
.svnПри этом шифруются только файлы со следующими расширениями:
".php", ".html", ".tar", ".gz", ".sql", ".js", ".css", ".txt" ".pdf", ".tgz", ".war", ".jar", ".java", ".class", ".ruby", ".rar" ".zip", ".db", ".7z", ".doc", ".pdf", ".xls", ".properties", ".xml" ".jpg", ".jpeg", ".png", ".gif", ".mov", ".avi", ".wmv", ".mp3" ".mp4", ".wma", ".aac", ".wav", ".pem", ".pub", ".docx", ".apk" ".exe", ".dll", ".tpl", ".psd", ".asp", ".phtml", ".aspx", ".csv"
Файлы в следующих каталогах не подвергаются шифрованию:
/
/root/.ssh
/usr/bin
/bin
/etc/sshДля шифрования каждого файла генерируется собственный AES-ключ. Шифрование выполняется в режиме AES-CBC-128, зашифрованные файлы получают расширение .encrypted. В каждом каталоге с зашифрованными файлами троянец размещает файл README_FOR_DECRYPT.txt с требованиями выкупа за расшифровку файлов.
При запуске расшифровки Linux.Encoder.1 использует полученный от вирусописателей приватный RSA-ключ для получения AES-ключей из зашифрованных файлов, перебирает каталоги в той же последовательности, что и при шифровании, удаляет файлы README_FOR_DECRYPT.txt и пытается расшифровать все файлы с расширениями .ecnrypted.
В настоящее время специалисты компании «Доктор Веб» разработали технологию, позволяющую расшифровать данные, зашифрованные вредоносной программой.
