12 de enero de 2016

A principios del año 2016 los creadores de virus prepararon a los usuarios de Linux otro regalo — una nueva versión del troyano cifrador para este sistema operativo. La muestra del encoder analizada por los expertos de la empresa Doctor Web fue llamada Linux.Encoder.3 y tiene varias diferencias importantes de los encoders anteriores.

Por lo visto, los creadores del virus tomaron en cuenta los consejos de una empresa antivirus occidental que indicó detalladamente en sus publicaciones los errores en el código de Linux.Encoder.1, y los corrigieron de forma operativa. Igual que las versiones anteriores de Linux.Encoder, este troyano penetra en la carpeta particular de los sitios web usando un Shell script que los malintencionados implementan en varios sistemas de administración del contenido usando las vulnerabilidades no detectadas. Linux.Encoder.3 no requiere privilegios de super usuario Linux para su funcionamiento — el troyano se inicia con los derechos del servidor web, suficientes para cifrar todos los archivos en el directorio particular del sitio web. Hasta el día de hoy, ya varios dueños de recursos en Internet, víctimas de Linux.Encoder.3, contactaron con la empresa Doctor Web.

Los creadores de virus cambiaron el algoritmo de cifrado usado por el troyano (tomando en cuenta los consejos y las recomendaciones de la empresa antivirus mencionada más arriba), pero la extensión de los archivos cifrados siguió siendo la misma — .encrypted. Una diferencia importante de las versiones anteriores del cifrado es que Linux.Encoder.3 es capaz de recordar la fecha de creación y de modificación del archivo inicial y suplantarla para los archivos modificados por los valores establecidos antes de cifrar. Cada copia del programa nocivo usa su propia clave de cifrado única creada a base de características de los archivos y valores cifrados, generados de forma aleatoria.

Algunas peculiaridades de arquitectura de Linux.Encoder.3 permiten descifrar correctamente los archivos dañados a efectos de funcionamiento de este programa nocivo. Pero como la empresa antivirus mencionada más arriba volvió a publicar un análisis del troyano que contiene la información detallada sobre sus «puntos débiles», esta información puede ser usada por los malintencionados para modernizar el cifrador. En el futuro próximo con mucha probabilidad podemos esperar la aparición de otra versión de Linux.Encoder, modificada para dificultar el descifrado de los archivos dañados por este programa nocivo.

Si sus archivos fueron inaccesibles como resultado de penetración de Linux.Encoder.3, realice las acciones siguientes:

• presente la denuncia correspondiente a la policía;
• no intente de ninguna forma modificar el contenido de las carpetas con los archivos cifrados;
• no borre ningún archivo en el servidor;
• no intente recuperar los archivos cifrados sin ayuda;
• contacte con el servicio de soporte técnico de la empresa Doctor Web (este servicio es gratuito para los usuarios de licencias comerciales Dr.Web);
• adjunte al ticket algún archivo cifrado por el troyano;
• espere la respuesta del experto del servicio de soporte técnico, por causa de muchas solicitudes, esto puede llevar un rato.

Recordamos que los servicios de descifrar archivos se prestan solo a los titulares de licencias comerciales de productos antivirus Dr.Web. La empresa Doctor Web no ofrece garantía completa de descifrado de todos los archivos dañados como resultado de funcionamiento del encoder, pero nuestros expertos harán todo lo posible paga recuperar la información cifrada.