Російський антивірус «Доктор Веб» росказав додаткові подробиці про вірус Linux.Encoder.1, про який ми писали раніше. Як вже відомо, зловред вражає комп’ютери і сервери під управлінням Linux, шифруючи файли домашньої папки для подальшого вимагання грошей за дешифровку.
Як з’ясувалося, основним вектором атаки є сайти, засновані на різних CMS (системах управління контентом), зокрема, WordPress і Magento CMS. Яка уразливість використовується для атаки – поки неясно.
При отриманні доступу, зловмисники розміщують на сайті файл error.php, що виконує роль shell-скрипта. При цьому цікаво, що вірусу цілком достатньо стандартних прав користувача www-data – це права веб-сервера Apache за замовчуванням. Їх вистачає для зашифровування директорії з файлами і компонентами движка сайту. Якщо ж привілеї будуть вище – директорією сайту це не обмежиться.
На сьогодні атаковані вже понад 2 тисяч сайтів у мережі. Більш детальну інформацію про вірус можна отримати за посиланням. Сигнатура вірусу вже додана в базу даних DrWeb.