Co data na jiných partišnách? Ty to zacryptuje taky?
Ten bod 5 "/" .... to znamená že to prochází všechny adresáře?
Způsob šíření : přes webové stránky?
Co třeba truecryptový container s nějakou šílenou koncovkou např. *.fds, je v bezpečí?
Jiné partitions, které nejsou namountované, nenajde a nechá být.
Ano, poté co projde "zajímavější adresáře" se pustí do všech adresářů. Nejspíš jde o pojistku, aby aspoň něco "pro uživatele cenného" bylo zašifrovano dřív než si někdo všimne podivné aktivity a šifrovaní zastaví. Tímto způsobem se pak může dostat i na namountovaná sdílená úložiště apod.
Z nám dostupných dat (dešifrovací balíček) způsob šíření zjistit nejde, podle jiných zdrojů se tento malware šíří zneužitím zranitelnosti CMS Magento.
Analyzovaná verze nechá všechny přípony mimo uvedený seznam být, obecně na to spoléhat nelze.
