19 de noviembre de 2015

La aparición del cifrador peligroso para el SO Linux llamado Linux.Encoder.1 fue de mucho interés en todo el mundo — resultó que esta familia de sistemas operativos que siempre se consideraba resistente al impacto de programas nocivos, también corre el riesgo de ser infectado por los encoders. Pero este troyano no fue el único — últimamente se detectaron como mínimo dos representantes más de este grupo de cifradores. Los expertos de la empresa Doctor Web comparten los resultados del estudio de uno de ellos, llamado Linux.Encoder.2.

Aunque este programa nocivo fue añadido a las bases de virus Dr.Web con número dos, en realidad apareció antes, pero durante mucho tiempo se detectaba por los analistas de las empresas antivirus. Además, hace poco una empresa – desarrollador del software antivirus publicó un estudio sobre otro troyano llamado Linux.Encoder.0, — supuestamente, es el primero en este grupo de cifradores, Linux.Encoder.2 empezó a difundirse un poco más tarde, en septiembre-octubre de 2015, y luego apareció Linux.Encoder.1.

Entre las diferencias básicas de esta modificación del cifrador de Linux.Encoder.1 cabe destacar que se usa otro generador de números pseudoaleatorios, para cifrar se aplica la biblioteca OpenSSL (y no PolarSSL, como en Linux.Encoder.1), el cifrado se realiza en modo AES-OFB-128, así mismo, el contexto vuelve a ser inicializado cada 128 bytes, es decir, cada 8 bloques AES. Así mismo, en Linux.Encoder.2 hay varias otras diferencias importantes de la realización alternativa de este encoder.

También cabe destacar que todas las utilidades conocidas hasta hoy día destinadas para descifrar archivos no eliminan el Shell script implementado por los malintencionados en el servidor infectado, que puede ser usado en el futuro por los ciberdelincuentes para otra infección del sistema. Por eso los especialistas del servicio de soporte técnico de la empresa Doctor Web ayudan a todos los usuarios que piden ayuda para descifrar archivos a limpiar el sistema de otros objetos nocivos y protegerlo contra los posibles ataques usando este script en el futuro.

La firma Linux.Encoder.2 fue añadida a las bases de virus del Antivirus Dr.Web para Linux. Los expertos de la empresa Doctor Web desarrollaron la metodología para descifrar los archivos dañados por este programa nocivo. Si no puede acceder a sus archivos a resultas de penetración de Linux.Encoder.2, realice las acciones siguientes:

• presente la denuncia correspondiente a la policía;
• no intente en ningún caso y de ninguna forma modificar el contenido de carpetas con archivos cifrados;
• no borre ningún archivo en el sitio web;
• no intente recuperar los archivos cifrados sin ayuda;
• contacte con el servicio de soporte técnico de la empresa Doctor Web (este servicio es gratuito para los usuarios de licencias comerciales de Dr.Web);
• adjunte al ticket cualquier archivo cifrado por el troyano;
• espere la respuesta del experto del servicio de soporte técnico; por causa de gran número de solicitudes, esto puede llevar un rato.

Recordamos que los servicios para descifrar archivos se prestan solo a los titulares de licencias comerciales de productos antivirus Dr.Web. La empresa Doctor Web no garantiza el descifrado completo de todos los archivos dañados a efectos del funcionamiento del encoder, pero nuestros expertos harán todo lo posible para salvar la información cifrada.