2015年11月6日

株式会社Doctor Web Pacific

Doctor WebはLinuxを標的とする新たな暗号化ランサムウェアの出現についてユーザーの皆様に警告します。トロイの木馬が暗号化するファイルのディレクトリから、サイバー犯罪者の主な標的はシステム上にwebサーバーが構築されているwebサイトの管理者であると推測され、このトロイの木馬によって少なくとも数十人が被害を受けていると考えられます。

Linux.Encoder.1と名付けられたこのトロイの木馬は、管理者権限で起動されるとサイバー犯罪者の要求を含んだファイルとRSA 公開鍵へのパスを含んだファイルをダウンロードします。その後、この悪意のあるプログラムはデーモンとして起動し、元のファイルを削除します。続けて、RSA 鍵を使用してAES鍵を保存しますが、このAES鍵が感染したコンピューター上のファイルを暗号化するために用いられます。

まず、Linux.Encoder.1はホームディレクトリおよびwebサイト管理に関連したディレクトリ内の全てのファイルを暗号化します。次に、自身が起動したディレクトリから開始してファイルシステム全体を検索した後、今度はルートディレクトリ（“/”）から開始して繰り返し検索を行い、指定された拡張子を持つファイルやサイバー犯罪者によって指定されたストリングで始まる名前を持つディレクトリのみを暗号化していきます。

暗号化されたファイルにはトロイの木馬によって.encrypted拡張子が付けられ、これらのファイルを含む全てのディレクトリ内に身代金要求を含んだファイルが置かれます。ファイルを復号化するために、被害者はBitcoinでの支払いを要求されます。

ファイルを暗号化されてしまった場合はDoctor Webのテクニカルサポートまでご連絡の上、詳細な状況を説明し、暗号化されたファイルをいくつか提出することを推奨します。ファイルの復号化を成功させるには、ユーザーがファイルを改変したり削除したりしないようにすることが重要です。そうでない場合、暗号化されたデータが永久に失われてしまう場合があります。