KillDisk теперь атакует Linux, требуя выкуп 250 000 $ за дешифрование, которое осуществить невозможно

Компания ESET — лидер в области проактивного обнаружения — сообщает об обнаружении новой модификации угрозы KillDisk, которая шифрует компьютеры Linux и требует выкуп в размере 250 000 долларов в криптовалюте Bitcoins за их разблокирование. При этом данное вредоносное программное обеспечение разработано таким образом, что дешифрование не предусмотрено. Таким образом, в результате заражения компьютеры Linux невозможно перезагрузить, а данные восстановить. Несмотря на это специалисты ESET все же обнаружили недостаток в шифровании, что делает восстановление данных возможным, хотя и достаточно сложным.

Напомним, что предыдущая версия компонента KillDisk была использована в атаках на украинские медиа-компании в ноябре 2015 года и на энергетические компании в декабре 2015 года (атака BlackEnergy). А совсем недавно специалисты ESET обнаружили диверсионные кибератаки, запланированные на 6 декабря 2016 года, на ряд целей в рамках финансового сектора Украины. Во время последних атак киберпреступники применили другой набор инструментов, используя вместо командного сервера платформу для обмена сообщениями Telegram Messenger.

В декабре 2016 года атаки KillDisk продолжились, а их вектор был направлен на цели в области морского транспорта Украины. Хакеры расширили набор инструментов угрозы, используя уже бэкдор Meterpreter и отказавшись от связи с командным сервером (C&C) через Telegram API.

Кроме этого, если для осуществления атак 6 декабря киберпреступники использовали «художественные» методы в виде заставки со ссылкой на популярный сериал «Mr. Robot», то последняя модификация угрозы обладает новой функцией — шифрование файлов жертвы. Сообщение о выкупе начинается с провокационной фразы «Нам так жаль...» («we are so sorry...») и содержит требование об уплате выкупа в обмен на зашифрованные файлы в размере 222 Bitcoins, что составляет примерно 250 000 долларов США.


Более того, последняя модификация программы-вымогателя KillDisk нацелена на операционные системы Windows и Linux и инфицирует не только рабочие станции, но и серверы.

Версии угрозы под ОС Windows, которые продукты ESET обнаруживают как Win32/KillDisk.NBK и Win32/KillDisk.NBL, шифруют файлы с помощью алгоритма AES (256-битного ключа шифрования, сгенерированного с использованием CryptGenRandom) и RSA 1024-бит. Во избежание повторного шифрования файлов угроза добавляет специальный маркер в конце каждого зашифрованного файла: DoN0t0uch7h!$CrYpteDfilE.


На обеих платформах сообщения о выкупе одинаковые, включая сумму выкупа, Bitcoin адрес и контактный адрес электронной почты злоумышленников. При этом текст требования отображается необычным способом — через загрузчик операционной системы GRUB. После запуска вредоносной программы данные начального загрузчика перезаписываются для отображения сообщения о выкупе.

Основная процедура шифрования рекурсивно обходит такие папки в корневой директории глубиной до 17 подкаталогов:
/boot
/bin
/sbin
/lib/security
/lib64/security
/usr/local/etc
/etc
/mnt
/share
/media
/home
/usr
/tmp
/opt
/var
/root

Файлы на устройстве жертвы шифруются с помощью Triple-DES в файловые блоки по 4096 байт. Для каждого файла применяется разный набор 64-битных ключей шифрования.


После перезагрузки инфицированная система не загружается.

Стоит отметить, что восстановление зашифрованных файлов невозможно даже в случае уплаты выкупа. Поскольку ключи шифрования нигде не сохраняются, после перезагрузки зараженной системы жертва теряет свои данные безвозвратно.

В то же время исследователи ESET обнаружили уязвимость в шифровании, которое используется на ОС Linux, что делает восстановление возможным, хотя и достаточно сложным (данная возможность не распространяется на шифрование на ОС Windows).

В связи с высокой активностью данной угрозы специалисты ESET настоятельно рекомендуют пользователям соблюдать основные правила при работе в Интернете, всегда устанавливать актуальные обновления операционной системы и программного обеспечения, использовать надежные решения для защиты своих компьютеров, а также регулярно делать резервные копии и проверять возможность восстановления данных. Если же вы стали жертвой данных программ-вымогателей, ни в коем случае не платите выкуп, поскольку нет никаких гарантий, что вы сможете вернуть потерянные данные.

Идентификаторы угрозы

SHA1 file hashes:

Win32/KillDisk.NBK trojan and Win32/KillDisk.NBL trojan:
2379A29B4C137AFB7C0FD80A58020F5E09716437
25074A17F5544B6F70BA3E66AB9B08ADF2702D41
95FC35948E0CE9171DFB0E972ADD2B5D03DC6938
B2E566C3CE8DA3C6D9B4DC2811D5D08729DC2900
84A2959B0AB36E1F4E3ABD61F378DC554684C9FC
92FE49F6A758492363215A58D62DF701AFB63F66
26633A02C56EA0DF49D35AA98F0FB538335F071C

Linux/KillDisk.A trojan:
8F43BDF6C2F926C160A65CBCDD4C4738A3745C0C