Компания "Доктор Веб" представила результаты исследования опасного шифровальщика Linux.Encoder.2. Хотя данная вредоносная программа была добавлена в вирусные базы Dr.Web под вторым номером, исторически она появилась раньше Linux.Encoder.1, однако в течение длительного времени не попадала в поле зрения аналитиков антивирусных компаний. Linux.Encoder.2 начал распространяться в сентябре-октябре 2015 года.
Среди основных отличий этой модификации шифровальщика от Linux.Encoder.1 необходимо отметить то, что она использует другой генератор псевдослучайных чисел, для шифрования применяет библиотеку OpenSSL (а не PolarSSL, как в Linux.Encoder.1), шифрование осуществляет в режиме AES-OFB-128, при этом происходит повторная инициализация контекста каждые 128 байт, то есть через 8 блоков AES.
Все известные на сегодняшний день утилиты, предназначенные для расшифровки файлов, не удаляют внедренный злоумышленниками на инфицированный сервер шелл-скрипт, которым впоследствии могут воспользоваться киберпреступники для повторного заражения системы. Поэтому специалисты службы технической поддержки "Доктор Веб" помогают всем обратившимся за помощью в расшифровке файлов пользователям очистить систему от посторонних вредоносных объектов и обезопасить ее от возможных атак с использованием этого скрипта в будущем.
