Обнаружен новый шифровальщик для Linux

Александр Панасенко 12 Января 2016 - 15:44

Общее

Linux

Вредоносные программы

Трояны

Программы-шифровальщики

...

В начале наступившего 2016 года вирусописатели преподнесли пользователям Linux очередной подарок — новую версию троянца-шифровальщика для данной операционной системы. Исследованный специалистами компании «Доктор Веб» образец энкодера, получивший наименование Linux.Encoder.3, имеет несколько заметных отличий от своих предшественников.

Судя по всему, вирусописатели вняли советам одной западной антивирусной компании, подробно указавшей в своих публикациях на допущенные авторами в коде Linux.Encoder.1 ошибки, и оперативно устранили их. Как и предыдущие версии Linux.Encoder, этот троянец проникает в домашнюю папку веб-сайтов с использованием шелл-скрипта, который злоумышленники внедряют в различные системы управления контентом с использованием неустановленных уязвимостей. Linux.Encoder.3 не требует для своей работы привилегий суперпользователя Linux — троянец запускается с правами веб-сервера, которых ему вполне достаточно для того, чтобы зашифровать все файлы в домашней директории сайта. На сегодняшний день в компанию «Доктор Веб» уже обратилось несколько пострадавших от действия Linux.Encoder.3 владельцев интернет-ресурсов, сообщает news.drweb.ru.

Вирусописатели изменили используемый троянцем алгоритм шифрования (с учетом советов и рекомендаций, озвученных упоминавшейся ранее антивирусной компанией), однако расширение зашифрованных файлов осталось прежним — .encrypted. Существенным отличием от предыдущих версий шифровальщика является то обстоятельство, что Linux.Encoder.3 способен запоминать дату создания и изменения исходного файла и подменять ее для измененных им файлов значениями, которые были установлены до шифрования. Каждый экземпляр вредоносной программы использует собственный уникальный ключ шифрования, создаваемый на основе характеристик шифруемых файлов и значений, сгенерированных случайным образом.

Ряд архитектурных особенностей Linux.Encoder.3 позволяет успешно расшифровывать файлы, поврежденные в результате действия этой вредоносной программы. Однако в связи с тем, что упоминавшаяся ранее антивирусная компания вновь опубликовала исследование троянца, содержащее подробную информацию о его «слабых местах», этими сведениями могут воспользоваться злоумышленники с целью модернизации шифровальщика. В ближайшее время с большой долей вероятности можно ожидать появления очередной версии Linux.Encoder, модифицированной с целью затруднить расшифровку поврежденных данной вредоносной программой файлов.

Следующая главная новость »

Итоги 2025 в ИБ: анализ рынка, тенденции и прогнозы в эфире AM Live. Регистрируйтесь по этой ссылке »

Екатерина Быстрова 22 Декабря 2025 - 21:02

Корпорации Защита конечных точек сети Системы обнаружения целевых атак на конечных точках сети (EDR) Positive Technologies

MaxPatrol EDR 9.0: больше ОС, автономная работа и новый сбор данных

Positive Technologies выпустила новую версию MaxPatrol EDR — продукта для выявления угроз на конечных устройствах и реагирования на инциденты. В релизе разработчики сделали упор на совместимость с разными операционными системами, расширение возможностей сбора данных и более гибкую работу с событиями информационной безопасности.

Больше поддерживаемых ОС

В новой версии MaxPatrol EDR заметно расширен список поддерживаемых платформ. Продукт теперь работает с «Альт Рабочая станция» и «Альт Сервер» версии 10.4, что важно для организаций, использующих российские ОС. Также добавлена поддержка Debian 13, Ubuntu 25.04 и Windows Server 2025.

Может работать автономно

Одна из ключевых особенностей релиза — MaxPatrol EDR теперь может использоваться как самостоятельное решение, без обязательной связки с другими продуктами Positive Technologies. Это позволяет развертывать защиту конечных устройств даже в условиях ограниченных аппаратных ресурсов. При этом возможность интеграции никуда не делась: продукт по-прежнему подключается к SIEM, SOAR и IRP — как от Positive Technologies, так и сторонних вендоров.

Собственные IoC и требования регуляторов

В обновлённой версии компании получили возможность проверять файлы с использованием собственных индикаторов компрометации (IoC). Также поддерживается проверка по IoC из внешних источников, включая бюллетени ФСТЭК — это особенно важно для субъектов КИИ.

Новый сбор данных на Windows

Для устройств под управлением Windows в MaxPatrol EDR появился новый модуль сбора данных, основанный на инструменте PT Dumper. Он может собирать более 40 категорий информации — как автоматически, так и вручную. Эти данные используются для выявления следов присутствия злоумышленников, внутреннего расследования инцидентов или передачи информации экспертам Positive Technologies в защищённом архиве.

Удобство для SOC и MSSP

При установке агента теперь можно добавлять текстовые метки с описанием устройства. Это помогает SOC-аналитикам и MSSP-провайдерам быстрее ориентироваться в инфраструктуре, настраивать политики безопасности и автоматизировать группировку агентов. Теги также упрощают поиск и фильтрацию устройств.

Усиление самозащиты

В новой версии усилены механизмы защиты самого агента. На Windows-устройствах вместе с EDR-агентом устанавливается драйвер самозащиты, который не позволяет удалить агент или вмешаться в его работу без авторизации.

Интерфейс и повседневная работа

Разработчики также обновили интерфейс: главное меню стало вертикальным и унифицировано с другими продуктами линейки Positive Technologies. В рабочей области теперь отображается больше данных, запуск командной строки доступен в один клик, а команды можно отправлять сразу на несколько устройств, не теряя контекст.

Обновление доступно в версии MaxPatrol EDR 9.0. После установки пользователи также получают возможность в течение шести месяцев бесплатно использовать антивирусный продукт MaxPatrol EPP.

Итоги 2025 в ИБ: анализ рынка, тенденции и прогнозы в эфире AM Live. Регистрируйтесь по этой ссылке »