資安廠商Doctor Web於11/6發現一隻名為Linux.Encoder.1的惡意程式，專門瞄準Linux作業系統而來，企圖藉由加密檔案向被害者勒索。Doctor Web根據其加密的目錄判斷，駭客主要目標是網站管理員。Linux.Encoder.1會利用電子商務網站常用的Magento內容管理系統軟體漏洞嘗試入侵，如成功進入主機系統後，就會加密受害電腦中與網站管理有關的主目錄。Linux.Encoder.1在加密檔案後會加入.encrypted的副檔名，目錄名稱也會加上駭客指定的字串。每個目錄內除了包含被加密的檔案外，還包含駭客勒贖要求的文字檔README_FOR_DECRYPT.txt。它會以AES加密系統上的檔案，再以RSA加密對稱金鑰，但會放過重要的系統檔案，以讓系統仍能重新運作，之後駭客即會要使用者支付贖金，以取得RSA私鑰來解鎖AES對稱金鑰。

根據研究人員蒐集到的檔案訊息，駭客要求受害者要支付1個比特幣(約400美金)才能解除檔案的加密。Doctor Web建議，受害者最好能將樣本及詳細情況提供給專業人員，擅自修改或刪除檔案，可能導致永遠救不回被加密的資料。Doctor Web估計目前受害電腦並不多，只有數十台。雖然Checkpoint於2015/4已經發現Magento的漏洞，Magento也已在2015/10底釋出修補程式，不過仍有許多小型商務網站未能及時更新。

不過，另一資安業者Bitdefender在11/10發現，Linux.Encoder.1勒索軟體中含有一個漏洞，讓他們得以直接回復AES金鑰而不必利用RSA來解鎖。Bitdefender也立即釋出解密工具，可自動回復所有受影響的檔案，若受害者能夠重新啟動系統，只要下載該工具，再以最高權限執行該工具即可。不過，Bitdefender的解密工具並非百分之百可行，主要是因為部分受害者重覆感染了Linux.Encoder.1，導致不同的檔案被不同的金鑰加密，造成某些檔案永久無法修復。加密勒索軟體引起高度重視，是因為它們會確保受害者在支付贖金之前無法解密檔案。Encoder勒索軟體所出現的錯誤是極幸運也極罕見的，Bitdefender還是建議網管人員不要以最高權限執行不完全信任的程式，強化安全防護機制並經常備份。


資料來源：
https://news.drweb.com/show/?i=9686&lng=en&c=5
http://vms.drweb.com/virus/?i=7704004&lng=en
http://labs.bitdefender.com/2015/11/linux-ransomware-debut-fails-on-predictable-encryption-key/
http://www.ithome.com.tw/news/99865
http://www.ithome.com.tw/news/99948

資訊來源:
行政院國家資通安全會報技術服務中心整理
http://www.icst.org.tw/NewsRSSDetail.aspx?lang=zh&RSSType=news&seq=15356