Малваре killdisk тепер атакує linux-машини, але платити викуп марно

Фахівці компанії ESET повідомили. що їм вдалося виявити нову версію KillDisk. Тепер малваре не просто знищує дані на жорсткому диску, як робила раніше, але ще і вимагає від жертви викуп, так як обзавелася функціональністю шифрувальника. Для цього KillDisk підвищує свої привілеї в системі, реєструє себе як сервіс і «вбиває» ряд процесів.

Згідно з даними ESET, нова варіація KillDisk - це розробка хакерської групи TeleBots, в яку, як вважають дослідники, еволюціонувала угруповання Sandworm. Відомо, що TeleBots атакує переважно український фінансовий сектор.

Дослідники пишуть, що оновлений KillDisk становить небезпеку для комп'ютерів і серверів, що працюють як під управлінням Windows, так і Linux. При цьому, зашифрувавши файли, малваре вимагає величезний викуп у розмірі 222 біткоіни, що становить приблизно $ 210 000 за поточним курсом.

Фахівців ESET окремо зацікавила Linux-версія шифрувальника. Як з'ясувалося, KillDisk використовує шифр Triple-DES, що виконується на файлових блоках 4096 байт, а для кожного файлу використовується свій набір 64-бітових ключів. Крім того, повідомлення з вимогою викупу малваре відображає за допомогою бутлоадер GRUB, тобто KillDisk перезаписує завантажувальний сектор і не дозволяє ОС завантажуватися нормально.

Також дослідники виявили, що ключі шифрування не зберігаються локально і не відправляються на керуючий сервер зловмисників. Тобто платити величезний викуп, сподіваючись на подальше відновлення даних, марно.

Але є і хороша новина: експерти ESET пишуть, що виявили слабке місце в Linux-версії шифрувальника (яке саме, дослідники не уточнюють). Знайдена проблема уможливлює відновлення інформації, хоча процес навряд чи буде легким. На жаль, Windows-версія KillDisk такої слабкості не має.

Поділися новиною з друзями: