Ennen Escalina tunnetun SFile-kiristyshaittaohjelman tekijät ovat sovittaneet ohjelman toimimaan ja kryptaamaan tiedostoja myös Linuxilla. Asiasta kertovan The Recordin mukaan ensimmäiset Linux-käyttöjärjestelmään kohdistuvat hyökkäykset havaittiin viime vuonna. Hyökkäykset tunnisti kiinalainen tietoturvayhtiö Rising.

Ensimmäiset SFile-iskut havaittiin jo helmikuussa 2020, mutta ensimmäinen versio pystyi kryptaamaan vain Windowsin tiedostoja. Viimeisen kahden vuoden aikana haittaohjelmalla on isketty erityisesti yritysten ja hallitusten verkkoihin.

Tuttuun kiristyshaittaohjelman tapaan SFile kryptaa uhrin tiedostot ja esittää lunnasviestin. Viestissä kehotetaan ottamaan yhteyttä hakkereihin sähköpostitse ja neuvottelemaan kryptauksen purkavan salausavaimen hinnasta.

Kiristyshaittaohjelmien sovittaminen Linuxiin on yleinen trendi verkkorikollisten maailmassa. SFilen tapauksessa Linux-version kiristysmalli toimii samalla tavalla, kuin aikaisemmin. Versio sisältää kuitenkin muutamia parannuksia.

MalwareHunterTeam huomauttaa, että Linux-versio kryptaa tiedostoja niiden ajankohdan mukaan. Uusimpiin tiedostoihin iskeminen on rikollisille hyödyllistä, sillä niiden voi olettaa sisältävän tärkeimpiä tietoja. Lisäksi uusien tiedostojen varmuuskopiointi on usein tekemättä.

Linuxilla toimiva SFile lisää myös uhrinsa nimen kryptattujen tiedostojen päätteeksi. Tuoreimmat uhrit ovat olleet kiinalaisia yrityksiä, kuten Yhdysvaltojen sanktioiden kohteeksi joutunut teknologiayritys Nuctech.