A zsarolóprogramok eddig asztali környezetben Windows felhasználók és rendszergazdák életét keserítették meg, de a világ változik, a hackerek pedig új célpontok után néztek. A Linux.Encoder.1 az első, ismert vírus, ami a fájlok titkosításával próbál váltságdíjat kicsikarni az áldozatokból Linux és FreeBSD rendszereken egyaránt.

A Magento webáruház tartalomkövető rendszerének hibáját kihasználó program megkeresi a /home, a /root és a /var/lib/mysql (stb) mappákat, majd ezek tartalmát AES titkosítással kódolja. Ezt követően a szimmetrikus kulcsot asszimetrikus algoritmussal (RSA) védi le. A trükk az, hogy a működéshez elengedhetetlen fájlokat békén hagyja, így a rendszer a későbbiekben is képes elindulni, a felhasználó mégsem tud hozzáférni az adataihoz. A kódot a PolarSSL felhasználásával C programnyelven írták.

A vírus készítői azonban komoly tervezési hibát vétettek, mikor a titkosítást végző kódot írták. Nem véletlengenerátorral dolgozik a szoftver, hanem a fájl titkosításának pontos dátumát használja az AES kulcs generálásához. Ennek köszönhető, hogy az áldozatgépek használhatóvá tételéhez nem szükséges fizetni a hackereknek.

A Bitdefender LABS munkája nyomán elérhető a dekódoló eszköz, ami automatikusan helyreállítja az érintett fájlokat. Fontos azonban, hogy azokon a rendszereken, ahol valamilyen okból többször is lefutott a zsarolóprogram, nem segít a megoldás, ami lépésről lépésre itt tekinthető meg. A 380 dolláros (1 bitcoin) váltságdíjat tehát azok kerülhetik el, akiknél csak egy példányban van jelen a trójai, vagy rendelkeznek biztonsági mentéssel és van lehetőségük visszatölteni a fertőzés előtti állapotot.

A legfrissebb Magento védett ettől a támadástól, de sokan nem telepítik azonnal a biztonsági javításokat. A Magento Enterprise Edition 1.14.2.2 és a Community Edition 1.9.2.2 már biztonságosnak tekinthető.