Dr.Web cảnh báo người dùng về ransomware mã hóa mới nhắm vào hệ điều hành Linux. Dựa trên thư mục chứa các tập tin bị Trojan mã hóa cho thấy mục tiêu chính của tội phạm mạng là các quản trị viên máy chủ web (web server). Theo phân tích từ các chuyên gia bảo mật Dr.Web: có ít nhất hàng chục nạn nhân Trojan của này khi nó mới xuất hiện.
Một khi đã vận hành với các đặc quyền quản trị viên, Trojan mệnh danh Linux.Encoder.1 tải về một tập tin theo đường dẫn được mã hóa với khóa public RSA. Sau đó, các chương trình độc hại hoạt động như một tập tin daemon và xóa các tập tin do chúng thay thế. Sau đó, khóa RSA được sử dụng để lưu trữ như AES keys và được sử dụng bởi các Trojan để mã hóa các tập tin trên máy tính bị nhiễm.
Đầu tiên, Linux.Encoder.1 mã hóa tất cả các file trong thư mục chính và thư mục liên quan đến quản trị website. Sau đó, các Trojan tìm cách liên kết vào tập tin hệ thống để có thể tự kích hoạt chính mình; tiếp đó là leo thang đặc quyền vào thư mục root (“/”). Tại đó, các Trojan mã hóa tập tin với phần mở rộng theoý đồ của tội phạm mạng.
Tập tin bị xâm nhập được nối thêm phần mềm độc hại với phần mở rộng .encrypted. Vào mỗi đường dẫn chứa các tập tin được mã hóa, các Trojan tự tạo một tập tin với yêu cầu tiền chuộc để giải mã các tập tin đã bị mã hóa, nạn nhân phải trả một khoản tiền chuộc bằng tiền Bitcoin cho tội phạm để được giải mã.
Dr.Web khuyến cáo các nạn nhân của Trojan liên hệ với kỹ thuật hỗ trợ Dr.Web cung cấp chi tiết thông tin về vụ việc và gửi một số mẫu tập tin bị mã hóa. Để giải mã tập tin, điều quan trọng mà người dùng chú ý là không tự ý can thiệp (sửa đổi hoặc xóa chúng) nếu không dữ liệu bị mã hóa có thể bị mất vĩnh viễn.
TUẤN AN