Новое вымогательское ПО угрожает пользователям Linux и FreeBSD
🕛 09.11.2015, 08:06
Вредонос требует у пользователей выкуп за разблокировку их файлов. Специалисты компании «Доктор Веб» обнаружили новый вид вымогательского ПО, работающего на ПК под управлением ОС Linux и FreeBSD. Вредонос шифрует определенные файлы в каталогах, обычно связанных с администрированием web-серверов, и требует оплатить разблокировку с помощью Bitcoin. Как минимум несколько десятков пользователей пострадали от вымогательского ПО.
После запуска с правами суперпользователя вредонос загружает файл, содержащий требование выкупа, а также файл, содержащий путь до публичного RSA-ключа. Сразу после этого вредоносное ПО запускает себя как демона и удаляет все исходные файлы. Загруженный RSA-ключ используется для хранения AES-ключей, с помощью которых осуществляется шифрование файлов.
В первую очередь вредонос шифрует все файлы в каталогах, относящихся к администрированию web-сайтов, а также в домашних директориях пользователей. После этого осуществляется рекурсивный обход файловой системы начиная с каталога, откуда было запущено вымогательское ПО, и через корневой каталог «/». Шифруются лишь файлы с расширениями из заданного списка, чьи имена начинаются с одной из установленных авторами вредоноса строк.
Расширение пострадавших файлов изменяется на .encrypted. В каждом каталоге, где содержатся зашифрованные файлы, создается файл с требованием выкупа. Для успешной разблокировки жертва должна отправить авторам вредоносного ПО определенное количество биткоинов.