`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

KillDisk атакует Linux, требуя выкуп $250 тыс. за дешифрование

+11
голос

 KillDisk атакует Linux, требуя выкуп $250 тыс. за дешифрование

Компания ESET обнаружила новую модификацию угрозы KillDisk, которая шифрует Linux-компьютеры и требует выкуп в размере 250 000 долл в криптовалюте Bitcoins за их разблокирование. При этом вредоносное программное обеспечение разработано таким образом, что дешифрование не предусмотрено. 

Отмечается, что в результате заражения компьютеры Linux невозможно перезагрузить, а данные восстановить. Несмотря на это специалисты ESET все же обнаружили недостаток в шифровании, что делает восстановление данных возможным, хотя и достаточно сложным.

Предыдущая версия компонента KillDisk была использована в атаках на украинские медиа-компании в ноябре 2015 года и на энергетические компании в декабре того же года (атака BlackEnergy). А совсем недавно специалисты ESET обнаружили диверсионные кибератаки, запланированные на 6 декабря 2016 года, на ряд целей в рамках финансового сектора Украины. Во время последних атак киберпреступники применили другой набор инструментов, используя вместо командного сервера платформу для обмена сообщениями Telegram Messenger.

В декабре прошлого года атаки KillDisk продолжились, а их вектор был направлен на цели в области морского транспорта Украины. Хакеры расширили набор инструментов угрозы, используя уже бэкдор Meterpreter и отказавшись от связи с командным сервером (C&C) через Telegram API.

Кроме этого, если для осуществления атак 6 декабря киберпреступники использовали «художественные» методы в виде заставки со ссылкой на популярный сериал «Mr. Robot», то последняя модификация угрозы обладает новой функцией — шифрование файлов жертвы. Сообщение о выкупе начинается с провокационной фразы «Нам так жаль...» («we are so sorry...») и содержит требование об уплате выкупа в обмен на зашифрованные файлы в размере 222 Bitcoins, что составляет примерно 250 000 долл.

Более того, последняя модификация программы-вымогателя KillDisk нацелена на операционные системы Windows и Linux и инфицирует не только рабочие станции, но и серверы.

Версии угрозы под ОС Windows, которые продукты ESET обнаруживают как Win32/KillDisk.NBK и Win32/KillDisk.NBL, шифруют файлы с помощью алгоритма AES (256-битного ключа шифрования, сгенерированного с использованием CryptGenRandom) и RSA 1024-бит. Во избежание повторного шифрования файлов угроза добавляет специальный маркер в конце каждого зашифрованного файла: DoN0t0uch7h!$CrYpteDfilE.

На обеих платформах сообщения о выкупе одинаковые, включая сумму выкупа, Bitcoin адрес и контактный адрес электронной почты злоумышленников. При этом текст требования отображается необычным способом — через загрузчик операционной системы GRUB. После запуска вредоносной программы данные начального загрузчика перезаписываются для отображения сообщения о выкупе.

Файлы на устройстве жертвы шифруются с помощью Triple-DES в файловые блоки по 4096 байт. Для каждого файла применяется разный набор 64-битных ключей шифрования.

После перезагрузки инфицированная система не загружается.

Стоит отметить, что восстановление зашифрованных файлов невозможно даже в случае уплаты выкупа. Поскольку ключи шифрования нигде не сохраняются, после перезагрузки зараженной системы жертва теряет свои данные безвозвратно.

В то же время исследователи ESET обнаружили уязвимость в шифровании, которое используется на ОС Linux, что делает восстановление возможным, хотя и достаточно сложным (данная возможность не распространяется на шифрование на ОС Windows).

В связи с высокой активностью данной угрозы специалисты ESET настоятельно рекомендуют пользователям соблюдать основные правила при работе в Интернете, всегда устанавливать актуальные обновления операционной системы и программного обеспечения, использовать надежные решения для защиты своих компьютеров, а также регулярно делать резервные копии и проверять возможность восстановления данных. Если же вы стали жертвой данных программ-вымогателей, ни в коем случае не платите выкуп, поскольку нет никаких гарантий, что вы сможете вернуть потерянные данные.

+11
голос

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT