Dr web met  les administrateurs système en garde contre nouveau malware. Il s'agit d'un racketiciel, ou ransoware, dont l'originalité est de s'attaquer aux serveur Linux.

Le mode de diffusion de ce malware n'est pas bien connu. Selon Dr Web, le CMS Magento pourrait être un des vecteurs de diffusion. Toujours selon Dr Web, quelques dizaines de serveurs seraient touchés.

Le faible nombre de serveurs touchés incite à penser que leurs administrateurs ont peut-être été assez imprudents ou négligents, et qu'en dépit du caractère inquiétant de cette nouvelle, les serveurs Linux bien administrés ne sont pas vulnérables.

En effet, Linux.Encoder.1 doit être lancé avec les droits administrateur pour s'incruster dans le système. Après quoi, il commence par crypter les contenus de répertoires tels que :

/home
/root
/var/lib/mysql
/var/www
/etc/nginx
/etc/apache2
/var/log

histoire que les sites présents sur le serveur fonctionnent beaucoup moins bien. Linux.Encoder.1 prend bien sûr soin d'effacer les fichiers originaux.

Puis il dépose sur le serveur des fichiers readme.crypto et index.crypto ainsi qu'une clé publique. Les fichiers .crypto informent l'administrateur de la situation et lui expliquent  que s'il veut décrypter ses fichiers avec la clé publique présente sur le serveyur, il devra payer un bitcoin (environ 350 euros) de rançon pour pouvoir télécharger la clé privée correspondante qui va bien. Le fonctionnement du malware est donné en détail par Dr Wzeb à cette page.

Les techniciens de Dr Web travaillent à un moyen pour permettre de récupérer les fichiers cryptés, sans payer de rançon.