Ошибка в конфигурации Linux-вымогателя позволяет извлечь AES-ключ

В начале ноября этого года специалисты компании «Доктор Веб» сообщили о новом вымогательском ПО, основной целью которого являются системы семейства Linux. Троян получил название Linux.Encoder1 (по классификации «Доктор Веб»).

После запуска с правами администратора троян загружает файлы с требованиями вирусописателей и файл, содержащий путь до открытого RSA-ключа, после чего запускает себя как демон и удаляет исходные файлы. Данный RSA-ключ в дальнейшем используется для хранения AES-ключей, с помощью которых вредонос шифрует файлы на зараженном компьютере.

Вредоносное ПО предположительно распространяется через сайт eBay на базе платформы Magento. За расшифровку файлов Linux.Encoder1 требует выкуп в размере 1 биткоина (порядка $380).

Несмотря на наличие, казалось бы, полностью защищенных алгоритмов, эксперты Bitdefender обнаружили уязвимость в процессе генерации AES-ключей, используемых вредоносным ПО. По словам специалистов, ошибка в конфигурации программного обеспечения позволяет извлечь AES-ключ без необходимости использования RSA-ключа, который продает оператор трояна.

Данная брешь позволила исследователям разработать инструмент, который способен автоматически восстанавливать зашифрованные файлы. Компания также предоставила инструкцию, в которой поэтапно описывается процесс восстановления документов.