-uaКомпанія ESET — лідер у галузі проактивного виявлення — повідомляє про виявлення нової модифікації загрози KillDisk, яка шифрує комп’ютери Linux та вимагає викуп у розмірі 250 000 доларів у криптовалюті Bitcoins за їх розблокування. При цьому дане шкідливе програмне забезпечення розроблене таким чином, що дешифрування не передбачене. Таким чином, внаслідок інфікування комп’ютери Linux неможливо перезавантажити, а дані відновити. Попри це спеціалісти ESET все ж виявили недолік у шифруванні, що робить відновлення даних можливим, хоча і досить складним.
Нагадаємо, що попередня версія компонента KillDisk була використана в атаках на українські медіа-компанії в листопаді 2015 року та на енергетичні компанії в грудні 2015 року (атака BlackEnergy). А зовсім нещодавно спеціалісти ESET виявили диверсійні кібератаки, заплановані на 6 грудня 2016 року, на ряд цілей в рамках фінансового сектора України. Під час останніх атак кіберзлочинці застосували інший набір інструментів, використавши замість командного сервера платформу для обміну повідомленнями Telegram Messenger.
Протягом грудня 2016 року атаки KillDisk продовжувалися, а їх вектор був спрямований на цілі у галузі морського транспорту України. Хакери розширили набір інструментів загрози, використовуючи вже бекдор Meterpreter та відмовившись від зв'язку з командним сервером (C&C) через Telegram API.
Крім цього, якщо для здійснення атак 6 грудня кіберзлочинці використовували «художні» методи у вигляді заставки з посиланням на популярний серіал «Mr. Robot», то остання модифікація загрози володіє новою функцією — шифрування файлів жертви. Повідомлення про викуп починається з провокаційної фрази «Нам так шкода...» («we are so sorry…») та містить вимогу про сплату викупу в обмін на зашифровані файли у розмірі 222 Bitcoins, що становить приблизно 250 000 доларів США.
Більш того, остання модифікація програми-вимагача KillDisk націлена на операційні системи Windows і Linux та інфікує не тільки робочі станції, а й сервери.
Версії загрози під ОС Windows, які продукти ESET виявляють як Win32/KillDisk.NBK та Win32/KillDisk.NBL, шифрують файли за допомогою алгоритму AES (256-бітного ключа шифрування, згенерованого з використанням CryptGenRandom) та RSA 1024-біт. Для уникнення повторного шифрування файлів загроза додає спеціальний маркер в кінці кожного зашифрованого файлу: DoN0t0uch7h!$CrYpteDfilE.
На обох платформах повідомлення про викуп однакове, включаючи суму викупу, Bitcoin адресу та контактну адресу електронної пошти зловмисників. При цьому текст вимоги відображається незвичним способом — через завантажувач операційної системи GRUB. Після запуску шкідливої програми дані початкового завантажувача перезаписуються для відображення повідомлення про викуп.
Основна процедура шифрування рекурсивно обходить такі папки в кореневій директорії глибиною до 17 підкаталогів:
/boot
/bin
/sbin
/lib/security
/lib64/security
/usr/local/etc
/etc
/mnt
/share
/media
/home
/usr
/tmp
/opt
/var
/root
Файли на пристрої жертви шифруються за допомогою Triple-DES у файлові блоки по 4096 байт. Для кожного файлу застосовується різний набір 64-бітних ключів шифрування.
Після перезавантаження інфікована система не завантажується.
Варто відзначити, що відновлення зашифрованих файлів неможливе навіть у разі сплати викупу. Оскільки ключі шифрування ніде не зберігаються, після перезавантаження інфікованої системи жертва втрачає свої дані безповоротно.
У той же час дослідники ESET виявили уразливість у шифруванні, яке використовується на ОС Linux, що робить відновлення можливим, хоча і досить складним (дана можливість не розповсюджується на шифрування на ОС Windows).
У зв’язку з високою активністю даної загрози спеціалісти ESET настійно рекомендують користувачам дотримуватись основних правил під час роботи в Інтернеті, завжди встановлювати актуальні оновлення операційної системи та програмного забезпечення, використовувати надійні рішення для захисту своїх комп'ютерів, а також регулярно робити резервні копії та перевіряти можливість відновлення даних. Якщо ж ви стали жертвою даних програм-вимагачів, у жодному випадку не сплачуйте викуп, оскільки немає жодних гарантій, що ви зможете повернути втрачені дані.
Ідентифікатори загрози
SHA1 file hashes:
Win32/KillDisk.NBK trojan and Win32/KillDisk.NBL trojan:
2379A29B4C137AFB7C0FD80A58020F5E09716437
25074A17F5544B6F70BA3E66AB9B08ADF2702D41
95FC35948E0CE9171DFB0E972ADD2B5D03DC6938
B2E566C3CE8DA3C6D9B4DC2811D5D08729DC2900
84A2959B0AB36E1F4E3ABD61F378DC554684C9FC
92FE49F6A758492363215A58D62DF701AFB63F66
26633A02C56EA0DF49D35AA98F0FB538335F071C
Linux/KillDisk.A trojan: