Abbiamo recentemente scritto che il KillDisk il malware è diventato in grado di crittografare i dati. Una variante di recente scoperta del malware potrebbe agire come ransomware a chiedere denaro in cambio di decrittazione. Una variante di Linux di KillDisk è stato scoperto da ricercatori ESET. Il malware è stato distribuito in attacchi contro l'Ucraina a fine 2015 e contro altri obiettivi nel settore finanziario del paese nel mese di dicembre 2016.
Correlata: Settore finanziario TeleBots destinazione ucraino con KillDisk Malware
La nuova variante si rivolge a sistemi Linux e li rende non avviabile, ma prima di crittografare i propri dati e richiede un grosso riscatto. Il riscatto richiesto dai creatori di malware è abbastanza grande per entrambi i sistemi Windows e Linux - 222 Bitcoin che è uguale a $247,000. I ricercatori dicono che nessuna vittima ha pagato, che è una grande notizia. Apparentemente, gli attaccanti non possono decodificare i dati criptati dal momento che le chiavi di crittografia sono né salvati localmente né sono trasmessi a C&Server C.
Correlata: KillDisk malware Ora un ransomware
Secondo i ricercatori ESET, Questi recenti ransomware KillDisk varianti non solo sono in grado di indirizzare i sistemi Windows, ma anche macchine Linux, che è una cosa curiosa di vedere nel mondo del malware. Gli obiettivi possono essere non solo attaccare workstation Linux, ma anche i server.
Windows varianti, rilevato da ESET come Win32 / KillDisk.NBK e Win32 / KillDisk.NBL, crittografare i file con AES (256-chiave di crittografia po generato utilizzando CryptGenRandom) e la chiave AES simmetrica viene quindi crittografato mediante RSA a 1024 bit. Al fine di non crittografare i file due volte, il malware aggiunge la seguente marcatore alla fine di ogni file crittografato: DoN0t0uch7h!$CrYpteDfilE.
I ricercatori hanno anche la relazione che in entrambe le versioni di Windows e Linux il messaggio di riscatto è assolutamente identico, comprese le informazioni circa la quantità di riscatto e il pagamento - 222 Bitcoin, indirizzo bitcoin, e-mail di contatto.
Linux / KillDisk Analisi tecnica
Le finestre e le versioni Linux di KillDisk sono abbastanza identiche, ma questo non va alla realizzazione tecnica. La versione Linux visualizza il messaggio di riscatto entro il bootloader GRUB che è piuttosto insolito. Una volta che il malware viene eseguito le voci del bootloader verranno sovrascritti in modo da visualizzare la richiesta di riscatto.
I file sono criptati utilizzando Triple-DES applicato a blocchi di file di 4096 byte. Ogni file è crittografato utilizzando un diverso insieme di chiavi di crittografia a 64 bit.
Dopo che il sistema infetto viene riavviato diventerà avviabile.
ricercatori ESET hanno osservato una debolezza nella crittografia nella versione Linux di KillDisk, che rende il recupero possibile, ma ancora difficile. Questa debolezza non è visto nella versione per Windows.
Come già accennato, pagare il riscatto non aiuterà con la decrittazione del file come le chiavi di crittografia generate sul sistema infetto non sono né salvati localmente non inviati a un server di comando e controllo.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: