俄羅斯殺毒軟件公司網站已經對Linux.Encoder.1進行了研究,并且報告了一些更壞的消息——感染數量在持續上升中。

這家公司已經發現了這個問題,但現在它擁有更多的相關信息。而我們之前談到的已經被感染方,數量已經上萬,現在,我們有更多的焦點以及更廣闊的前景去探索。

該公司聲稱:“攻擊方案表明，網絡罪犯實際上不需要root權限來讓Linux的Web服務器運行或者是運行加密文件,”。

此外,該木馬還對互聯網資源擁有者構成了嚴重威脅,尤其是考慮到許多流行的CMS都有許多未修復的漏洞,以及一些站長要么無視及時更新的必要性,要么就是使用CMS過時的版本。”

據研究,可能有多達2000個受影響的網站,每一個都受到了不同程度的威脅。就在昨天,我們進行了同樣的研究,對“readme_for_decrypt.txt”進行了谷歌搜索,發現其搜索結果的數量現在是40,000。

Dr Web表示,這個漏洞也是有缺陷的。

上周,該公司警告稱,到目前為止,已經有數萬用戶受到感染。感染方有,網站管理員的電腦,以及那些與其服務的網頁相關的服務器。

Dr web還表示:“從目錄中的木馬加密文件來看,可以得出一個結論,網絡犯罪分子的主要目標是網站管理員,并且他們的機器上部署有Web服務器。”

“在一些情況下,當病毒制造者利用CMS Magento的漏洞對Web服務器發動攻擊。Dr web的安全研究人員推測,至少已經有數萬的用戶成為了這個木馬的受害者。”

一旦Linux.Encoder.1被攜帶——Dr web并沒有透露這是怎么發生的,它會下載額外的文件,并且抓取RSA密鑰。在那之后,事情就會變得非常糟糕。

該公司補充說到:“管理員權限一旦啟動,被稱為Once Linux.Encoder.1的木馬 ,馬上下載文件里包含網絡罪犯的命令以及一個帶有公共RSA密鑰路徑的文件。之后,該惡意程序開始作為一個守護進程,并且開始刪除原始文件。"

隨后,RSA密鑰將用來存儲AES密鑰,其受命于木馬,用來感染已經被感染的計算機上的文件。”

該木馬通過Linux系統加密所有它存在過的目錄中的文件。它會對加密的文件做標記,并設置它的要求。

“首先,Linux.Encoder.1 會加密主目錄中的所有文件和以及網站管理下的相關目錄。然后木馬開始運行時,該木馬遞會遞歸遍歷整個文件系統的目錄;接下來,從一個根目錄(“/”)開始。在那個位置,木馬會加密特別指定的那些文件,并且只有當一個目錄名開始是字符串時,網絡犯罪就開始了。"該公司表示。

“被入侵的文件被加密擴展的惡意軟件捆綁附加。在每一個包含加密文件的目錄,木馬會植入一個帶有贖金要求的文件,如果想要他們的文件得以解密,受害者必須以比特幣的電子貨幣形式支付贖金。”

所要求的贖金是一個相對較低的比特幣總和,大約幾百美元。