Компьютерный вирус

Вредонос KillDisk нацелился на Linux

В 2015 и 2016 году вредоносная программа KillDisk несколько раз попадала в заголовки новостей. Эту программу злоумышленники использовали для взлома энергетических предприятий, финансового сектора и других компаний Украины.

Согласно исследованиям компании ESET, теперь злоумышленники могут использовать KillDisk не только на компьютерах под управлением операционной системы Windows, но и на ПК с Linux, причем вредонос может использоваться, как на рабочих станциях, так и на серверах.

Злоумышленники стали применять вредоносное ПО в качестве программы — вымогателя, после заражения системы KillDisk прописывается в загрузочном секторе, не позволяя системе загрузится и требует выкуп за предоставление доступа к данным в суме 222 биткоина, что составляет около $250 тыс.

KillDisk для Windows
Фото: ESET

Версия вредоносной программы для Windows детектируются ESET, как Win32 / KillDisk.NBK и Win32 / KillDisk.NBL. KillDisk шифрует файлы используя AES (256-битный ключ шифрования генерируется с использованием CryptGenRandom) и симметричного ключа AES затем шифруется с помощью 1024-битного RSA. Чтобы не шифровать файлы дважды, вредонос добавляет следующий маркер на конец каждого зашифрованного файла: DoN0t0uch7h!$CrYpteDfilE.

KillDisk - окно с требованием выкупа в Linux
Фото: ESET

В версии KillDisk для Linux процесс выкупа идентичен с Windows, то техническая реализация отличается. Сообщение с требованиями выкупа отображается в загрузчике GRUB. При запуске вредоноса файлы загрузчика перезаписываются с использованием алгоритма шифрования Triple-DES, а каждый файл шифруется с использованием набора 64-битных ключей.

В ESET отметили, что не следует платить выкуп злоумышленникам, так как ключи шифрования, генерируемые на зараженном компьютере, не хранятся на локальных дисках и не передаются на сервер, так что они могут автоматически удаляться после генерации.

Поделиться:

Похожие записи