Vi skrev for nylig, at den KillDisk malware blev i stand til at kryptere data. En nyopdaget variant af malware kunne optræde som ransomware at kræve penge i bytte for dekryptering. En Linux variant af KillDisk blev opdaget af ESET forskere. Den malware blev indsat i angreb mod Ukraine i slutningen af 2015 og mod andre mål i landets finansielle sektor i januar 2016.
Relaterede: TeleBots Target Ukranian finansielle sektor med KillDisk Malware
Den nye variant henvender Linux-systemer og gør dem unbootable, men først den krypterer deres data og kræver en stor løsesum. Den løsesum krævet af de malware skabere er ganske stor for både Windows- og Linux-systemer - 222 Bitcoin hvilket svarer til $247,000. Forskere siger, at der ikke offeret har betalt, hvilket er en god nyhed. Tilsyneladende, angriberne kan ikke dekryptere nogen krypterede data, da krypteringsnøglerne hverken er gemt lokalt de er heller ikke overføres til C&C-servere.
Relaterede: KillDisk Malware Nu er en Ransomware
Ifølge ESET forskere, disse nylige ransomware KillDisk varianter er ikke kun i stand til at målrette Windows-systemer, men også Linux-maskiner, hvilket er en mærkelig ting at se i malware verden. Målene kan være ikke blot angribe Linux arbejdsstationer, men også servere.
Windows-varianter, registreret af ESET som Win32 / KillDisk.NBK og Win32 / KillDisk.NBL, Kryptér filer med AES (256-bit krypteringsnøgle genereres ved hjælp CryptGenRandom) og den symmetriske AES nøglen er derefter krypteret med 1.024 bit RSA. For ikke at kryptere filer to gange, malware tilføjer følgende markør til slutningen af hver krypteret fil: DoN0t0uch7h!$CrYpteDfilE.
Forskere rapporterer også, at løsesum budskab i både Windows og Linux-versioner er helt identiske, herunder oplysninger om løsesum beløb og betaling - 222 Bitcoin, Bitcoin adresse, og kontakt email.
Linux / KillDisk Teknisk oversigt
Linux-versioner af KillDisk Windows og er helt identiske, men det går ikke til den tekniske gennemførelse. Linux-versionen viser løsesum besked inden for GRUB bootloader hvilket er helt usædvanligt. Når malware udføres bootloader poster vil blive overskrevet, så de vise løsepenge note.
Filerne er krypteret med Triple-DES anvendt på 4096 byte fil blokke. Hver fil er krypteret ved hjælp af et andet sæt 64-bit krypteringsnøgler.
Efter det inficerede system genstartes det bliver unbootable.
ESET forskere har observeret en svaghed i krypteringen i Linux-versionen af KillDisk, der gør opsving muligt, men stadig svært. Denne svaghed er ikke set i Windows-versionen.
Som allerede nævnt, betale løsesum vil ikke hjælpe med dekryptering af filen som krypteringsnøgler genereret på det inficerede system hverken gemmes lokalt ikke sendt til en kommando og kontrol-server.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: