Hace poco escribimos que la KillDisk malware se convirtió capaz de cifrar los datos. Una variante recién descubierta del malware podría actuar como ransomware para exigir dinero a cambio de descifrado. Una variante de Linux de KillDisk fue descubierto por investigadores de ESET. El malware se desplegó en los ataques contra Ucrania a finales de 2015 y contra otros objetivos en el sector financiero del país en diciembre 2016.
Relacionado: Objetivo TeleBots ucraniano del sector financiero con KillDisk malware
La nueva variante se dirige a los sistemas Linux y hace que no arranca, pero primero se encripta sus datos y exige un gran rescate. El rescate exigido por los creadores de malware es bastante grande para los sistemas Windows y Linux - 222 Bitcoin lo que equivale a $247,000. Los investigadores dicen que ninguna víctima ha pagado, lo cual es una gran noticia. Al parecer,, los atacantes no pueden descifrar los datos cifrados ya que las claves de cifrado se guardan ni a nivel local ni son transmitidos a C&Servidores C.
Relacionado: KillDisk malware Ahora, un ransomware
De acuerdo con investigadores de ESET, éstos reciente ransomware KillDisk variantes no sólo son capaces de dirigir los sistemas Windows, sino también las máquinas Linux, que es una cosa curiosa para ver en el mundo de software malicioso. Los objetivos pueden ser no sólo atacan a las estaciones de trabajo Linux, sino también a los servidores.
El variantes de Windows, detectado por ESET como Win32 / KillDisk.NBK y Win32 / KillDisk.NBL, Cifrar archivos con AES (256-clave de cifrado de bits generado utilizando CryptGenRandom) y la clave AES simétrica se cifra a continuación, utilizando RSA de 1024 bits. A fin de no cifrar archivos en dos ocasiones, el malware añade el siguiente marcador al final de cada archivo cifrado: DoN0t0uch7h!$CrYpteDfilE.
Los investigadores también informan de que en ambas versiones de Windows y Linux el mensaje de rescate es absolutamente idéntico, incluyendo información sobre la cantidad y el pago del rescate - 222 Bitcoin, Dirección de Bitcoin, y correo electrónico de contacto.
Linux / descripción técnica KillDisk
El las versiones para Linux de KillDisk Windows y son bastante idénticos, pero esto no va a la implementación técnica. La versión para Linux muestra el mensaje de rescate dentro del gestor de arranque GRUB que es bastante inusual. Una vez que se ejecuta el malware las entradas del gestor de arranque serán reemplazados hasta que aparezcan en la nota de rescate.
Los archivos se cifran con Triple-DES aplica a bloques de archivo de 4096 bytes. Cada archivo se cifra usando un conjunto diferente de las claves de cifrado de 64 bits.
Después de que el sistema infectado se reinicia que no se podrá arrancar.
ESET investigadores han observado una debilidad en el cifrado de la versión para Linux de KillDisk, que hace que la recuperación sea posible, pero sigue siendo difícil. Esta debilidad no se ve en la versión de Windows.
Como ya se ha mencionado, pagar el rescate no ayudará con el descifrado del archivo como las claves de cifrado generadas en el sistema infectado ni se guardan localmente no se envían a un servidor de comando y control.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: