[You must be registered and logged in to see this image.]2016 година беше поредния кошмар за сигурността на онлайн потребителите. Макар и да беше определена от мнозина за годината на рансъмуер заплахите, то благодарение най-вече на повече от милиард записите, изтекли от минал пробив в Yahoo и атаката към Dyn, както и тази към мрежата на Демократическата партия в САЩ, криптовирусите понякога оставаха в сянка.
Но тази година започва така, както свърши миналата – с новини за нов тип
рансъмуер атаки. За това алармират Роберт Липовски и Петер Калнай от страниците на блога на ESET. Става дума за ново приложение на
Killdisk, която атакува работни станции и сървъри под Линукс. Известните успешни рансъмуер атаки към Линукс инсталации вероятно се броят на пръстите на едната ръка, но ето, че вече имаме и нова работеща такава.
Ако името на Killdisk ви е познато, то вероятно сте чели за атаките към украинската енергоразпределителна система от 2015г. Същата зловредна програма e използвана към новинарска агенция в страната и компании. Програмата се разпространява в системата и започва да трие съдържанието на диска, след което инфектира MBR сектора, което прави машината неоперативна. Наскоро беше алармирано за появата на вариант на Killdisk, който вместо да трие информация, криптира данните, искайки сериозен откуп. Специалистите предполагат, че този рансъмуер е насочен към индустриални системи. Това предположение идва, освен от сериозната сума, която се иска – около $200 000 в биткойни, и която е непосилна за обикновени потребители, така и от това, че заразата е регистрирана в атаки към ICS системи. В друга атака с Killdisk, нейните автори са атакували потребители и финансови институции посредством комуникационната услуга Telegram.
Настоящото приложение на програмата, което е насочено към Линукс системи действа не съвсем като традиционен рансъмуер, в смисъл, че криптира файловете, иска откуп, но връщане на данните в некриптирано състояние не се предвижда. Заплахата първо криптира файловете веднъж под AES с 256-битов ключ, а след това криптира симетричния AES ключ с 1024-битово криптиране под RSA, а всеки файл се криптира с различен набор от 64-битови криптиращи ключове. И все пак, подобно на други рансъмуер заплахи, и тук – има някаква надежда.
„Важно е да подчертаем, че плащането на откупа, искан за възстановяване на криптираните файлове е загуба на време и пари. Криптиращите ключове, генерирани за инфектираната машина не се пазят нито локално, нито на контролен сървър. Нека подчертаем, че престъпниците зад Killdisk не могат да осигурят жертвите с декриптиращи ключове да възстановят техните файлове, независимо, че е платно извънредно голяма сума пари“, пишат специалистите, които споделят, че са открили слабост в Линукс версията, което макар и трудно, прави възстановяването на данните възможно.
Когато заразата попадне на компютъра тя заключва файлове в 17 поддиректории в root. Освен това се заразява и програмата за начално зареждане на операционната система GRUB, като стандартния интерфейс на програмата бива заменен с искането за откуп.
/kaldata.com