Шифровальщик для OS X, распространение которого осуществлялось через торрент-клиент Transmission, представляет интерес практически для всех экспертов по информационной безопасности.
Эксперты из Palo Alto Networks одними из первых провели анализ вредоносной программы. Компания Bitdefender также провела свое исследование, в результате которого выяснилось, что программы KeRanger и Linux.Encoder имеют много общего.
Впервые Linux.Encoder был обнаружен сотрудниками «Доктор Веб» прошлой осенью. Вредоносная программа действовала только против компьютеров на базе Linux, в большинстве случаев атакуя веб-серверы и хранилища с исходными кодами. Позже оказалось, что основой для шифровальщика послужила вредоносная программа Hidden Tear.
По словам экспертов Bitdefender, KeRanger – это производная от Linux.Encoder. Следует отметить, что именно специалисты Bitdefender смогли первыми осуществить взлом шифрования Linux.Encoder.
Как утверждают в Bitdefender, функции шифрования в двух программах являются идентичными и имеют одинаковые имена. Порядок шифрования в KeRanger также совпадает с тем, который используется в Linux.Encoder.
По мнению ведущего аналитика компании Богдана Ботезату, для сходства данных программ могут быть два объяснения: или создатель Linux.Encoder решил своими силами усовершенствовать свою разработку, чтобы она могла функционировать на устройствах Apple, или он продал код другой хакерской группе, занимающейся программами для OS X.
Также специалисты компании рассказали, что код KeRanger очень похож на Linux.Encoder.4. Четвертая модификация шифровальщика была создана в начале этого года.
Аналитики Bitdefender пока что не смогли осуществить взлом шифрования Linux.Encoder.4.