俄罗斯杀毒软件公司网站已经对Linux.Encoder.1进行了研究,并且报告了一些更坏的消息——感染数量在持续上升中。
这家公司已经发现了这个问题,但现在它拥有更多的相关信息。而我们之前谈到的已经被感染方,数量已经上万,现在,我们有更多的焦点以及更广阔的前景去探索。
该公司声称:“攻击方案表明,网络罪犯实际上不需要root权限来让Linux的Web服务器运行或者是运行加密文件,”。
此外,该木马还对互联网资源拥有者构成了严重威胁,尤其是考虑到许多流行的CMS都有许多未修复的漏洞,以及一些站长要么无视及时更新的必要性,要么就是使用CMS过时的版本。”
据研究,可能有多达2000个受影响的网站,每一个都受到了不同程度的威胁。就在昨天,我们进行了同样的研究,对“readme_for_decrypt.txt”进行了谷歌搜索,发现其搜索结果的数量现在是40,000。
Dr Web表示,这个漏洞也是有缺陷的。
上周,该公司警告称,到目前为止,已经有数万用户受到感染。感染方有,网站管理员的电脑,以及那些与其服务的网页相关的服务器。
Dr web还表示:“从目录中的木马加密文件来看,可以得出一个结论,网络犯罪分子的主要目标是网站管理员,并且他们的机器上部署有Web服务器。”
“在一些情况下,当病毒制造者利用CMS Magento的漏洞对Web服务器发动攻击。Dr web的安全研究人员推测,至少已经有数万的用户成为了这个木马的受害者。”
一旦Linux.Encoder.1被携带——Dr web并没有透露这是怎么发生的,它会下载额外的文件,并且抓取RSA密钥。在那之后,事情就会变得非常糟糕。
该公司补充说到:“管理员权限一旦启动,被称为Once Linux.Encoder.1的木马 ,马上下载文件里包含网络罪犯的命令以及一个带有公共RSA密钥路径的文件。之后,该恶意程序开始作为一个守护进程,并且开始删除原始文件。"
随后,RSA密钥将用来存储AES密钥,其受命于木马,用来感染已经被感染的计算机上的文件。”
该木马通过Linux系统加密所有它存在过的目录中的文件。它会对加密的文件做标记,并设置它的要求。
“首先,Linux.Encoder.1 会加密主目录中的所有文件和以及网站管理下的相关目录。然后木马开始运行时,该木马递会递归遍历整个文件系统的目录;接下来,从一个根目录(“/”)开始。在那个位置,木马会加密特别指定的那些文件,并且只有当一个目录名开始是字符串时,网络犯罪就开始了。"该公司表示。
“被入侵的文件被加密扩展的恶意软件捆绑附加。在每一个包含加密文件的目录,木马会植入一个带有赎金要求的文件,如果想要他们的文件得以解密,受害者必须以比特币的电子货币形式支付赎金。”
所要求的赎金是一个相对较低的比特币总和,大约几百美元。 
