От жертвите се иска откуп в биткойн на стойност стотици долари
Зловредна програма инфектира компютри под управление на Linux и кодира файловете в тях, след което иска откуп от потребителите, за да възстанови достъпа им, алармира Dr.Web. Главна мишена на Linux.Encoder.1 са администраторите на сайтове, които са инсталирали собствен сървър на машините си.
След стартиране с права на администратор, троянецът зарежда файл с изискванията на атакуващите и още един файл, който съдържа път до публичен RSA ключ. След това троянецът се стартира като демон и изтрива изходните файлове.
RSA ключът впоследствие се използва за съхраняване на AES ключове, с помощта на които троянецът кодира файловете на заразения компютър.
Зловредната програма кодира най-напред всички файлове в домашния каталог на потребителя, както и в каталозите, свързани с администрацията на уеб сайтове. След това вирусът обхожда рекурсивно цялата файлова система и кодира файлове с разширения от зададен списък и само при условие, че името на каталога започва по определен начин, зададен от атакуващите.
На жертвата се предлага да плати откуп в криптовалута биткойн за възстановяване на достъпа до кодираните данни. Стойността на откупа възлиза на няколкостотин долара.