Malver KillDisk sada napada i Linux, traži 215000 dolara, ali ne može da dešifruje fajlove

Opisi virusa, 09.01.2017, 09:00 AM

Malver KillDisk sada napada i Linux, traži 215000 dolara, ali ne može da dešifruje fajlove

Istraživači kompanije ESET otkrili su verziju ransomwarea KillDisk za Linux, koji je poznat kao malver koji briše hard diskove. KillDisk je malver koji je ranije korišćen samo za sabotažu kompanija čiji su podaci nasumnično menjani i brisani.

Istraživači ESET-a su otkrili verziju KillDiska za Linux samo nedelju dana pošto su njihove kolege iz Cyber X-a otkrile verzije malvera KillDisk kojima je dodat i ransomware, ali koje mogu da napadaju samo Windows računare.

Prema rečima stručnjaka ESET-a, način na koji malver radi na Windowsu i Linuxu je potpuno drugačiji. Najveći problem sa KillDiskom na Linuxu je to što malver ne čuva enkripcijski ključ na disku ni na bilo kom drugom mestu. To znači da žrtve neće moći da vrate svoje fajlove jer će ključ biti izgubljen čim se proces enkripcije dovrši.

Dobra vest je da su istraživači ESET-a otkrili propust u verziji malvera za Linux, koji omogućava oporavak šifrovanih fajlova. Taj propust ne postoji u verziji koja inficira Windows računare.

KillDisk koji inficira Windows računare šifruje fajlove AES-256 ključem, a zatim se AES ključevi šifruju javnim RSA-1028 ključem.

Privatni RSA ključ je sačuvan na serveru koji je pod kontrolom kriminalaca. On omogućava napadačima da dešifruju fajlove žrtava ali tek onda kada plate 222 bitcoina (oko 215000 dolara).

Kriminalci dobijaju ključeve preko Telegram protokola zbog čega je grupa koja koristi ovaj ransomware nazvana TeleBots.

Verzija malvera za Linux je znatno drugačija. Prvo i najvažnije, ona ne komunicira preko Telegram protokola sa komando-kontrolnim serverom. Za šifrovanje fajlova se koristi Triple-DES i svaki fajl se šifruje različitim 64-bitnim ključevima.

Fajlovima koje šifruje malver dodaje "DoN0t0uch7h!$CrYpteDfilE".

KillDisk Linux ransomware prepisuje boot sektor i koristi GRUB boot loader da bi prikazao obaveštenje o otkupnini. To obaveštenje je identično onom koje prikazuje verzija malvera za Windows, a ista je i emal adresa preko koje žrtve mogu kontaktirati kriminalce.

Pre nego što mu je dodata ransomware komponenta, KillDisk je korišćen isključivo za sajber špijunažu i diverzije. U novembru 2015. KillDisk je korišćen u napadima na medije u Ukrajini, a mesec dana kasnije i za sabotažu ukrajinske elektrane. Za napade je osumnjičena grupa BlackEnergy.

U decembru prošle godine, grupa TeleBots je koristila KillDisk Windows ransomware za napade na ukrajinske banke.

Za sada nisu pronađeni dokazi da je grupa TeleBots povezana sa grupom BlackEnergy. U svim napadima, BlackEnergy je koristio KillDisk za uništavanje računara i brisanje dokaza o napadima u kojima je grupa koristila i druge malvere.

Dodati ransomware je možda način da za prikrivanje napada. Napadnute kompanije će obratiti pažnju na ransomware, ne analizirajući druge tragove. Prevelika okupnina koju traži ransomware može biti deo istog scenarija. Apsurdno je i pomisliti da bi neka firma izdvojila toliki novac da bi vratila fajlove. To je ono čemu se nada grupa TeleBots - da će kompanije odustati od plaćanja. Tako će drugi znaci i tragovi upada grupe u sisteme ostati zauvek šifrovani i izgubljeni.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Posle pet godina napada na korisnike banaka, otkriven malver Dark Tequila

Posle pet godina napada na korisnike banaka, otkriven malver Dark Tequila

Istraživači iz kompanije Kaspersky Labs otkrili su složenu kampanju distribucije jednog malvera koja je usmerena na korisnike meksičkih banaka i k... Dalje

Distributeri ransomwarea SamSam zaradili skoro 6 miliona dolara od žrtava

Distributeri ransomwarea SamSam zaradili skoro 6 miliona dolara od žrtava

Ransomware SamSam zaradio je svom tvorcu više od 5,9 miliona dolara, koliko su platile žrtve od kada se pojavio malver, krajem 2015. godine. Ovo je ... Dalje

PowerGhost: Novi majner koji isključivo napada firme širom sveta

PowerGhost: Novi majner koji isključivo napada firme širom sveta

Istraživači kompanije Kaspersky Lab otkrili su novi malver za rudarenje kriptovaluta, nazvan PowerGhost, koji je pogodio korporativne mreže u nekol... Dalje

Otkrivena nova verzija čuvenog bankarskog trojanca Kronos

Otkrivena nova verzija čuvenog bankarskog trojanca Kronos

Istraživači iz kompanije Proofpoint primetili su novu verziju starog bankarskog trojanca Kronos koji je bio na vrhuncu još 2014. godine. Nova verzi... Dalje

Šifrovati ili rudariti, pitanje je sad: Malver Rakhni odlučuje šta je isplatljivije

Šifrovati ili rudariti, pitanje je sad: Malver Rakhni odlučuje šta je isplatljivije

Istraživači kompanije Kaspersky Lab otkrili su zanimljiv malver koji inficira sisteme ili majnerom kriptovaluta ili ransomwareom, u zavisnosti od nj... Dalje