SHA1:
- 21e4dc8307109bdd3a31292c655bb4cb152520cd (x86_64)
- 989750746f58904c377ba7edc22c5dfad3e40855 (UPX, x86_64)
- cccec1a6ee56741745adac5d190c30cadb7eea5b (x86)
- f1b8da40feb1abeaa1b7f1322f48f9d96a018a00 (UPX, x86)
Le ransomware à chiffrement pour Linux est écrit en C et utilise la bibliothèque PolarSSL. Il s’agit d’une modification avancée de Linux.Encoder.1 et Linux.Encoder.2. Cependant, dans cette version, les cybercriminels ont implémenté d’autres fonctionnalités comme :
- Le mode de chiffrement a été modifié : AES-CBC-256.
- Le Trojan restaure les dates de création et de modification des fichiers préalables au chiffrement.
Une clé de chiffrement est générée pour chaque fichier depuis deux tampons : l’un permanent est créé d’après les paramètres d’un fichier crypté ; l’autre est basé sur 32 nombres aléatoires reçus par appel séquentiel à la fonction système rand().
Les chercheurs de Doctor Web ont développé une nouvelle méthode qui peut, dans la plupart des cas, aider à déchiffrer les fichiers compromis par le malware.
