私たちは最近、 KillDisk マルウェアはデータを暗号化できるようになりました. 新たに発見されたマルウェアの亜種は、解読と引き換えにお金を要求するランサムウェアのように機能する可能性があります. Linuxの亜種 KillDisk によって発見されました ESETの研究者. マルウェアは、最近ウクライナに対する攻撃で展開されました 2015 そして12月に国の金融セクターの他の目標に対して 2016.
関連している: TeleBotsはKillDiskマルウェアでウクライナの金融セクターを標的
新しいバリアントはLinuxシステムを対象とし、それらを起動不能にします, しかし、最初にそれは彼らのデータを暗号化し、大きな身代金を要求します. マルウェア作成者が要求する身代金は、WindowsシステムとLinuxシステムの両方にとって非常に大きなものです。 222 に等しいビットコイン $247,000. 研究者は、犠牲者は支払っていないと言います, これは素晴らしいニュースです. どうやら, 暗号化キーはローカルに保存されておらず、Cに送信されないため、攻撃者は暗号化されたデータを復号化できません。&Cサーバー.
関連している: KillDiskマルウェアがランサムウェアになりました
ESETの研究者によると, これらの最近のランサムウェア KillDisk 亜種はWindowsシステムをターゲットにするだけではありません, Linuxマシンだけでなく, これはマルウェアの世界で見られる興味深いものです. 標的は、Linuxワークステーションだけでなくサーバーも攻撃する可能性があります.
Windowsの亜種, ESETによってWin32/KillDisk.NBKおよびWin32/KillDisk.NBLとして検出されます, AESでファイルを暗号化する (256-CryptGenRandomを使用して生成されたビット暗号化キー) 次に、対称AESキーは1024ビットRSAを使用して暗号化されます. ファイルを2回暗号化しないため, マルウェアは、暗号化された各ファイルの末尾に次のマーカーを追加します: DoN0t0uch7h!$CrYpteDfilE.
研究者はまた、WindowsとLinuxの両方のバージョンで身代金メッセージが完全に同一であると報告しています, 身代金の金額と支払いに関する情報を含む– 222 ビットコイン, ビットコインアドレス, と連絡先の電子メール.
Linux/KillDiskの技術概要
KillDiskのWindowsバージョンとLinuxバージョンはまったく同じですが、これは技術的な実装には当てはまりません。. Linuxバージョンでは、GRUBブートローダー内に身代金メッセージが表示されますが、これは非常に珍しいことです。. マルウェアが実行されると、ブートローダーエントリが上書きされ、身代金メモが表示されます。.
ファイルは、4096バイトのファイルブロックに適用されるTriple-DESを使用して暗号化されます. 各ファイルは、64ビット暗号化キーの異なるセットを使用して暗号化されます.
感染したシステムを再起動すると、起動できなくなります.
ESETの研究者は、Linuxバージョンの暗号化の弱点を観察しました KillDisk, 回復は可能ですが、それでも困難です. この弱点はWindows版では見られません.
すでに述べたように, 身代金を支払っても、感染したシステムで生成された暗号化キーはローカルに保存されず、コマンドおよび制御サーバーに送信されないため、ファイルの復号化には役立ちません。.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: