Nous avons récemment écrit que le Killdisk malware est devenu capable de crypter des données. Une variante nouvellement découverte du malware pourrait agir comme ransomware pour demander de l'argent en échange pour le décryptage. Une variante Linux Killdisk a été découvert par chercheurs ESET. Le malware a été déployé dans des attaques contre l'Ukraine à la fin de 2015 et contre d'autres cibles dans le secteur financier du pays en Décembre 2016.
en relation: TeleBots Target Ukranian secteur financier avec Killdisk Malware
La nouvelle variante vise les systèmes Linux et rend unbootable, mais d'abord il crypte leurs données et exige une forte rançon. La rançon exigée par les créateurs de malwares est assez grand pour les systèmes Windows et Linux - 222 Bitcoin qui équivaut à $247,000. Les chercheurs disent que aucune victime a payé, qui sont d'excellentes nouvelles. Apparemment, les attaquants ne peuvent pas décrypter les données cryptées depuis les clés de chiffrement ne sont ni enregistrées localement ils ne sont pas transmis à C&serveurs de C.
en relation: Killdisk Malware maintenant un Ransomware
Selon les chercheurs d'ESET, ces récentes ransomware Killdisk variantes ne sont pas seulement en mesure de cibler les systèmes Windows, mais aussi des machines Linux, qui est une chose curieuse de voir dans le monde des logiciels malveillants. Les cibles peuvent être non seulement attaquer les postes de travail Linux, mais aussi des serveurs.
Les variantes de Windows, détectés par ESET comme Win32 / KillDisk.NBK et Win32 / KillDisk.NBL, crypter des fichiers avec AES (256-la clé de cryptage de bits généré en utilisant CryptGenRandom) et la clé symétrique AES est ensuite crypté à l'aide de 1024 bits RSA. Afin de ne pas chiffrer les fichiers deux fois, le malware ajoute la balise suivante à la fin de chaque fichier crypté: DoN0t0uch7h!$CrYpteDfilE.
Les chercheurs rapportent également que dans les deux versions Windows et Linux le message de rançon est absolument identique, y compris des informations sur le montant de la rançon et le paiement - 222 Bitcoin, adresse Bitcoin, et le contact email.
Linux / Killdisk Présentation technique
Le Windows et les versions Linux de Killdisk sont tout à fait identiques, mais cela ne va pas à la mise en œuvre technique. La version Linux affiche le message de rançon dans le bootloader GRUB qui est assez inhabituel. Une fois le logiciel malveillant est exécuté les entrées de bootloader seront écrasés afin qu'ils affichent la note de rançon.
Les fichiers sont cryptées en utilisant Triple-DES appliquée à des blocs de fichier de 4096 octets. Chaque fichier est crypté à l'aide d'un ensemble différent de clés de chiffrement 64 bits.
Une fois le système infecté est redémarré, il deviendra unbootable.
les chercheurs d'ESET ont observé une faiblesse du cryptage dans la version Linux de Killdisk, ce qui rend la récupération possible mais encore difficile. Cette faiblesse ne se voit pas dans la version Windows.
Comme déjà mentionné, payer la rançon ne va pas aider avec le décryptage du fichier que les clés de chiffrement générées sur le système infecté ne sont ni enregistrées localement non envoyés à un serveur de commande et de contrôle.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: