KillDisk-вымогатель переключился на Linux - Новости и Обзоры
интернет-защита
все антивирусы в одном приложении

KillDisk-вымогатель переключился на Linux

Bleeping Computer сообщает, что исследователи из ESET обнаружили вариант новоиспеченного блокера KillDisk, ориентированный на Linux. Как оказалось, эта версия содержит недочет, дающий надежду на восстановление зашифрованных файлов.

Дополнительный функционал, позволяющий шифровать файлы жертвы и требовать выкуп, данный зловред приобрел совсем недавно, однако аналитики CyberX, обнаружившие это нововведение, наблюдали его в действии лишь против Windows. Версия вымогателя для Linux, по свидетельству ESET, работает по-другому и отличается прежде всего тем, что не сохраняет ключи шифрования ни локально, ни онлайн. Обычно в таких случаях у жертвы не остается шанса на возврат зашифрованных файлов, однако исследователи, по их словам, обнаружили некий дефект, позволяющий исправить ситуацию. В Windows-версии блокера KillDisk эта лазейка, к сожалению, отсутствует.

Файлы на Windows-машинах KillDisk шифрует 256-битным ключом AES (создаваемым заново для каждого файла), пара которому затем шифруется открытым 1024-битным RSA, прописанным в коде. Секретный RSA-ключ хранится на сервере злоумышленников и позволяет им расшифровывать файлы после уплаты выкупа (222 биткойна). Зашифрованные ключи зловред отправляет на свой сервер, используя API Telegram, — из-за этого эксперты нарекли авторов KillDisk-кампаний «группой TeleBots».

Linux-версия криптоблокера KillDisk не использует этот канал C&C-связи и применяет другой алгоритм шифрования. Как пишет репортер Bleeping Computer, цитируя исследователей, в данном случае «файлы шифруются с помощью Triple-DES, выполняемого на файловых блоках 4096 байт», причем «каждый файл шифруется своим набором 64-битных ключей».

Отыскивая файлы для шифрования, Linux-вымогатель оперирует списком папок корневого каталога (/boot, /bin, /lib/security, /share, /media, /usr, /tmp, /root и т.п.), который может содержать до 17 позиций. К зашифрованным файлам добавляется маркер DoN0t0uch7h!CrYpteDfilE.

Требование выкупа новый KillDisk тоже отображает необычно — используя загрузчик GRUB. Для этого зловред переписывает загрузочный сектор, и после перезапуска зараженная система перестает грузиться. Текст сообщения с требованием выкупа, по свидетельству экспертов, идентичен воспроизводимому Windows-версией вымогателя, вплоть до суммы выкупа, Bitcoin-кошелька и контактного адреса email.

Ранее KillDisk использовался исключительно как деструктивный компонент атаки, проводимой с целью шпионажа или киберсаботажа. Он удалял важные системные файлы, подменял файлы данных, переписывал файлы некоторых типов, помогая атакующим эффективно вывести из строя компьютер и уничтожить следы вторжения других вредоносных программ. Автор записи на Bleeping Computer полагает, что функции криптоблокера могли быть реализованы в KillDisk с той же целью — маскировки атаки: озаботившись утратой важных файлов, жертва заражения вряд ли станет искать признаки других вторжений.

Сообщество Вконткте
обзоры антивирусов и программ безопасности
Комментарии и отзывы
Добавляя комментарий, ознакомьтесь с Правилами сообщества
Система Orphus