Эта вредоносная программа была добавлена в вирусные базы Dr.Web под вторым номером, хотя исторически она появилась раньше. Те мне менее она долго не попадала в поле зрения аналитиков антивирусных компаний. Кроме того, недавно одна из компаний – разработчиков антивирусного ПО опубликовала исследование другого троянца, названного Linux.Encoder.0, — предположительно самого первого в этой группе шифровальщиков. Linux.Encoder.2 начал распространяться в сентябре-октябре 2015 г., а уже затем появился Linux.Encoder.1.
Основные отличия этой модификации шифровальщика от Linux.Encoder.1 в том, что она использует другой генератор псевдослучайных чисел, для шифрования применяет библиотеку OpenSSL (а не PolarSSL, как в Linux.Encoder.1), шифрование осуществляет в режиме AES-OFB-128, при этом происходит повторная инициализация контекста каждые 128 байт, т. е. через 8 блоков AES.
По информации специалистов «Доктор Веб», все известные на сегодняшний день утилиты, предназначенные для расшифровки файлов, не удаляют внедренный злоумышленниками на инфицированный сервер шелл-скрипт, которым впоследствии могут воспользоваться киберпреступники для повторного заражения системы. Поэтому специалисты службы технической поддержки компании помогают всем пользователям, обратившимся за помощью в расшифровке файлов, очистить систему от вредоносных объектов. Сигнатура Linux.Encoder.2 добавлена в вирусные базы Антивируса Dr.Web для Linux.