- Сообщения
- 14,930
- Решения
- 5
- Реакции
- 6,863
Добавлен в вирусную базу Dr.Web: 2015-11-05
Описание добавлено: 2015-11-06
SHA1:
Троянец-шифровальщик для Linux, написан на языке C с использованием криптографической библиотеки PolarSSL.
После запуска с правами администратора троянец загружает в память своего процесса файлы с требованиями вирусописателей:
Аргументом троянцу передается путь до файла, содержащего публичный RSA-ключ.
После чтения содержимого файлов троянец удаляет их, запускает себя как демон и удаляет собственный исходный файл.
В первую очередь Linux.Encoder.1 шифрует все файлы в следующих каталогах:
Вслед за этим троянец шифрует все файлы в домашних каталогах пользователей. Затем Linux.Encoder.1 рекурсивно обходит всю файловую систему: в первую очередь каталог, из которого он был запущен, а затем корневой каталог «/». Шифрование выполняется только для каталогов, название которых начинается с одной из следующих строк:
При этом шифруются только файлы со следующими расширениями:
".php", ".html", ".tar", ".gz", ".sql", ".js", ".css", ".txt" ".pdf", ".tgz", ".war", ".jar", ".java", ".class", ".ruby", ".rar" ".zip", ".db", ".7z", ".doc", ".pdf", ".xls", ".properties", ".xml" ".jpg", ".jpeg", ".png", ".gif", ".mov", ".avi", ".wmv", ".mp3" ".mp4", ".wma", ".aac", ".wav", ".pem", ".pub", ".docx", ".apk" ".exe", ".dll", ".tpl", ".psd", ".asp", ".phtml", ".aspx", ".csv"
Файлы в следующих каталогах не подвергаются шифрованию:
Для шифрования каждого файла генерируется собственный AES-ключ. Шифрование выполняется в режиме AES-CBC-128, зашифрованные файлы получают расширение .encrypted. В каждом каталоге с зашифрованными файлами троянец размещает файл README_FOR_DECRYPT.txt с требованиями выкупа за расшифровку файлов.
При запуске расшифровки Linux.Encoder.1 использует полученный от вирусописателей приватный RSA-ключ для получения AES-ключей из зашифрованных файлов, перебирает каталоги в той же последовательности, что и при шифровании, удаляет файлы README_FOR_DECRYPT.txt и пытается расшифровать все файлы с расширениями .ecnrypted.
В настоящее время специалисты компании «Доктор Веб» работают над технологией, позволяющей с некоторой долей вероятности расшифровать данные, зашифрованные вредоносной программой.
источник.
Описание добавлено: 2015-11-06
SHA1:
- a5054babc853ec280f70a06cb090e05259ca1aa7 (x64, UPX)
- 98e057a4755e89fbfda043eaca1ab072674a3154 (x64,unpacked)
- 810806c3967e03f2fa2b9223d24ee0e3d42209d3 (x64, FreeBSD)
- 12df5d886d43236582b57d036f84f078c15a14b0 (x86, UPX)
- 5bd6b41aa29bd5ea1424a31dadd7c1cfb3e09616 (x86, unpacked)
Троянец-шифровальщик для Linux, написан на языке C с использованием криптографической библиотеки PolarSSL.
После запуска с правами администратора троянец загружает в память своего процесса файлы с требованиями вирусописателей:
- ./readme.crypto — файл с требованиями;
- ./index.crypto — файл с требованиями в формате html.
Аргументом троянцу передается путь до файла, содержащего публичный RSA-ключ.
После чтения содержимого файлов троянец удаляет их, запускает себя как демон и удаляет собственный исходный файл.
В первую очередь Linux.Encoder.1 шифрует все файлы в следующих каталогах:
Код:
/home
/root
/var/lib/mysql
/var/www
/etc/nginx
/etc/apache2
/var/log
Код:
public_html
www
webapp
backup
.git
.svn
".php", ".html", ".tar", ".gz", ".sql", ".js", ".css", ".txt" ".pdf", ".tgz", ".war", ".jar", ".java", ".class", ".ruby", ".rar" ".zip", ".db", ".7z", ".doc", ".pdf", ".xls", ".properties", ".xml" ".jpg", ".jpeg", ".png", ".gif", ".mov", ".avi", ".wmv", ".mp3" ".mp4", ".wma", ".aac", ".wav", ".pem", ".pub", ".docx", ".apk" ".exe", ".dll", ".tpl", ".psd", ".asp", ".phtml", ".aspx", ".csv"
Файлы в следующих каталогах не подвергаются шифрованию:
Код:
/
/root/.ssh
/usr/bin
/bin
/etc/ssh
При запуске расшифровки Linux.Encoder.1 использует полученный от вирусописателей приватный RSA-ключ для получения AES-ключей из зашифрованных файлов, перебирает каталоги в той же последовательности, что и при шифровании, удаляет файлы README_FOR_DECRYPT.txt и пытается расшифровать все файлы с расширениями .ecnrypted.
В настоящее время специалисты компании «Доктор Веб» работают над технологией, позволяющей с некоторой долей вероятности расшифровать данные, зашифрованные вредоносной программой.
источник.