Wir schrieben vor kurzem, dass die Killdisk Malware wurde Lage, Daten zu verschlüsseln. Eine neu entdeckte Variante der Malware könnte wie Ransomware handeln Geld im Austausch für die Entschlüsselung zu verlangen. Eine Linux-Variante Killdisk wurde entdeckt, durch ESET Forscher. Die Malware wurde in Angriffe gegen die Ukraine im späten Einsatz 2015 und gegen andere Ziele in der Finanzsektor des Landes im Dezember 2016.
verbunden: TeleBots Ziel ukrainischer Finanzsektor mit Killdisk Malware
Die neue Variante zielt auf Linux-Systemen und macht sie nicht mehr booten, aber zuerst verschlüsselt sie ihre Daten und erfordert ein hohes Lösegeld. Das Lösegeld von den Malware-Schöpfer gefordert ist ziemlich groß für Windows und Linux-Systemen - 222 Bitcoin, die gleich $247,000. Die Forscher sagen, dass kein Opfer gezahlt hat, was ist eine gute Nachricht. Offenbar, die Angreifer können keine verschlüsselten Daten zu entschlüsseln, da die Verschlüsselungsschlüssel weder lokal gespeichert werden, noch werden sie übertragen C&C-Server.
verbunden: Killdisk Malware Jetzt eine Ransom
Laut ESET Forscher, Diese jüngsten Ransomware Killdisk Varianten sind nicht nur in der Lage Windows-Systemen zu installieren, aber auch Linux-Maschinen, Das ist eine seltsame Sache in der Malware-Welt zu sehen. Die Ziele können nicht nur Linux-Workstations angreifen, sondern auch Server.
Die Windows-Varianten, von ESET als Win32 / KillDisk.NBK und Win32 / KillDisk.NBL erkannt, Verschlüsseln von Dateien mit AES (256-Bit-Verschlüsselungsschlüssel erzeugt CryptGenRandom mit) und die symmetrische AES-Schlüssel wird dann verschlüsselt 1024-Bit-RSA. Um zweimal nicht, Dateien zu verschlüsseln, die Malware die folgenden weiteren Marker zu Ende jeder verschlüsselten Datei: DoN0t0uch7h!$CrYpteDfilE.
Die Forscher berichten auch, dass in Windows- und Linux-Versionen der Löse Nachricht absolut identisch ist, einschließlich Informationen über das Lösegeld Menge und Zahlung - 222 Bitcoin, Bitcoin-Adresse, und Kontakt E-Mail.
Linux / Killdisk Technischer Überblick
Die Windows-und Linux-Versionen von Killdisk sind ziemlich identisch, aber das geht nicht auf die technische Umsetzung. Die Linux-Version zeigt das Löse Nachricht innerhalb des GRUB-Bootloader, die recht ungewöhnlich ist. Sobald die Malware die Bootloader-Einträge ausgeführt wird, werden überschrieben, so dass sie die Erpresserbrief anzuzeigen.
Die Dateien werden verschlüsselt Triple-DES 4096-Byte-Dateiblöcke angewendet. Jede Datei ist verschlüsselt einen anderen Satz von 64-Bit-Verschlüsselungsschlüssel verwenden.
Nach dem infizierten System neu gestartet wird, wird es nicht mehr starten.
ESET-Forscher haben eine Schwäche bei der Verschlüsselung in der Linux-Version von beobachtet Killdisk, Das macht Erholung möglich, aber immer noch schwierig,. Diese Schwäche ist nicht in der Windows-Version zu sehen.
Wie bereits erwähnt, das Lösegeld zahlen nicht mit der Entschlüsselung der Datei, wie die Verschlüsselungsschlüssel erzeugt auf dem infizierten System helfen weder lokal gespeichert sind nicht auf einen Befehl und Kontrollserver gesendet.