2015年11月20日
株式会社Doctor Web Pacific
このトロイの木馬には「2」という番号がついていますが、セキュリティリサーチャーに発見されていなかっただけで、実際はもっと以前に作製されたものです。また、少し前にLinux.Encoder.0と名付けられたトロイの木馬が発見されており、このLinux.Encoder.0は、このトロイの木馬ファミリーの最初のバージョンであると考えられます。Linux.Encoder.2は2015年9月から10月にかけて拡散され、その後Linux.Encoder.1が登場しました。
Linux.Encoder.1と異なり、は別の擬似乱数ジェネレータを用い、OpenSSLライブラリ(Linux.Encoder.1ではPolarSSL)を使用してファイルを暗号化します。暗号化はAES-OFB-128モードで行われ、コンテキストは128バイトごとに(8 AESブロックごと)再初期化されます。また、Linux.Encoder.2では動作に大きな変更が加えられています。
現時点で、いずれのファイル復号化ユーティリティも感染したサーバーからシェルスクリプトを削除することがないため、サイバー犯罪者はそれを使用してシステムを再度感染させることが可能です。Doctor Webテクニカルサポートでは、ファイルの復号化をリクエストされたユーザーのシステムから別の悪意のあるプログラムも削除し、残ったスクリプトを使用した攻撃からシステムを保護します。
Dr.Web for LinuxウイルスデータベースにはLinux.Encoder.2のシグネチャが追加されています。Doctor Webでは、このマルウェアによって暗号化されたファイルを高確率で復元する新しい手法を開発しました。Linux.Encoder.2によってファイルを暗号化されてしまった場合は次の手順に従ってください。
- 警察に連絡してください。
- いかなる場合でも、暗号化されたファイルを含むディレクトリのコンテンツを変更しようとしないようにしてください。
- サーバーからファイルを削除しないでください。
- 暗号化されたデータをご自身で復元しようとしないでください。
- Doctor Webテクニカルサポートに連絡してください(無料の復号化サービスはDr.Web製品の有償版ライセンスを購入されたユーザーのみ利用可能です)
- トロイの木馬によって暗号化されたファイルをリクエストチケットに添付してください。
- ウイルスアナリストからの返答をお待ちください。大量のリクエストが寄せられるため、時間がかかる場合があります。
無料の復号化サービスはDr.Web製品の有償版ライセンスを購入されたユーザーのみが利用可能となっています。Doctor Webでは全てのファイルの復号化を保証することはできませんが、暗号化されたデータの復元に全力を尽くします。
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments