Torna alla lista delle notizie
6 novembre 2015
La minaccia informatica scoperta è stata inserita nel database dei virus dell'azienda Doctor Web sotto il nome del Linux.Encoder.1. Dopo l'avvio con i privilegi di amministratore, il trojan scarica file con le pretese degli hacker e un file contenente il percorso della chiave RSA pubblica, dopodiché si avvia come un daemon e rimuove i file originali. Questa chiave RSA viene utilizzata successivamente per conservare le chiavi AES attraverso cui il trojan cripta file sul computer infetto.
In primo luogo, il Linux.Encoder.1 cripta tutti i file nelle directory home degli utenti e nelle directory della gestione di siti web. In seguito il cryptolocker esamina in modo ricorsivo tutto il file system: prima iniziando dalla directory in cui è stato avviato e come il passo successivo dalla directory radice "/". Cripta i file con le estensioni presenti in una lista impostata e solo a condizione che il nome della directory inizia con una delle stringhe impostate dai pirati informatici.
I file colpiti hanno l'estensione .encrypted. In ogni directory contenente file criptati il trojan mette un file con le pretese dei malintenzionati: la vittima dovrebbe pagare la decriptazione nella criptovaluta Bitcoin.
Doctor Web consiglia agli utenti di cui i file sono stati criptati di rivolgersi al servizio di supporto tecnico descrivendo dettagliatamente la situazione e allegando alcuni campioni dei file criptati. Per una decriptazione corretta dei file, è importante che l'utente non rimuova e non modifichi nessuno dei file criptati in quanto durante tale azione potrebbero andare perse le informazioni necessarie per il recupero dei dati.
La tua opinione conta per noi
Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.
Altri commenti