Запущенный с правами администратора троян, названный Linux.Encoder.1, загружает файлы, содержащие запросы злоумышленников и файл с путем к публичному ключу RSA. На следующем шаге вредоносная программа удаляет исходные файлы. Затем используется ключ RSA для записи ключей AES, которые будут использоваться трояном для шифрования файлов на зараженном компьютере.
Сначала Linux.Encoder.1 шифрует все файлы в домашних каталогах. Затем троян рекурсивно анализирует все системные файлы, начиная с директории, где был запущен; а затем, начиная с корневого каталога root- /. Более того, троян шифрует только файлы с определенными расширениями, и только, если имя каталога начинается с одной из строк, указанных злоумышленниками.
Зашифрованные файлы получают расширение .encrypted. В каждом каталоге, содержащем зашифрованные файлы, троянец встраивает файл с требованием выкупа. Чтобы иметь возможность расшифровать свои файлы, жертва должна заплатить выкуп в электронной валюте Bitcoin.
«Доктор Веб» рекомендуют пользователям, чьи файлы были зашифрованы, обратиться в службу поддержки, указав детальную информацию об инциденте и, послав несколько примеров зашифрованных файлов.
Чтобы можно было расшифровать такие файлы, очень важно, чтобы пользователь не изменял и не удалял их – в противном случае зашифрованные данные могут быть безвозвратно потеряны.
