SHA1:
- 21e4dc8307109bdd3a31292c655bb4cb152520cd (x86_64)
- 989750746f58904c377ba7edc22c5dfad3e40855 (UPX, x86_64)
- cccec1a6ee56741745adac5d190c30cadb7eea5b (x86)
- f1b8da40feb1abeaa1b7f1322f48f9d96a018a00 (UPX, x86)
Троянец-шифровальщик для Linux, написан на языке C с использованием криптографической библиотеки PolarSSL. Является усовершенствованной версией троянцев-шифровальщиков Linux.Encoder.1 и Linux.Encoder.2, однако имеет ряд отличий от них:
- изменен режим шифрования: AES-CBC-256;
- троянец восстанавливает даты создания и изменения файла на те, что были у него до шифрования.
Ключ шифрования для каждого файла генерируется из двух буферов: один — постоянный, создается на основе параметров шифруемого файла, второй — на основе 32 случайных чисел, полученных последовательным вызовом системной функции rand().
К настоящему времени специалисты компании «Доктор Веб» разработали технологию, позволяющую расшифровать данные, зашифрованные этой вредоносной программой.
