We hebben onlangs schreef dat de KillDisk malware werd in staat om gegevens te coderen. Een onlangs ontdekte variant van de malware zou kunnen fungeren als ransomware om geld te eisen in ruil voor decryptie. Een Linux variant van KillDisk werd ontdekt door ESET onderzoekers. De malware werd ingezet bij aanvallen tegen Oekraïne in de late 2015 en tegen andere doelwitten in de financiële sector van het land in december 2016.
Verwant: TeleBots Target Ukranian Financiële Sector met KillDisk Malware
De nieuwe variant is gericht op Linux-systemen en maakt ze niet meer opstart, maar eerst versleutelt hun gegevens en vraagt om een groot losgeld. Het losgeld geëist door de malware makers is vrij groot voor zowel Windows als Linux-systemen - 222 Bitcoin die gelijk is aan $247,000. Onderzoekers zeggen dat er geen slachtoffer heeft betaald, dat is geweldig nieuws. Blijkbaar, de aanvallers kan geen versleutelde gegevens sinds de encryptiesleutels niet lokaal worden opgeslagen decoderen noch worden ze doorgestuurd naar C&C-servers.
Verwant: KillDisk Malware Nu een Ransomware
Volgens ESET onderzoekers, deze recente ransomware KillDisk varianten zijn niet alleen in staat om Windows-systemen richten, maar ook Linux machines, dat is een merkwaardig om te zien in de malware ter wereld. De doelstellingen kunnen niet alleen aanvallen Linux werkstations, maar ook servers.
De Windows-varianten, gedetecteerd door ESET als Win32 / KillDisk.NBK en Win32 / KillDisk.NBL, versleutelen van bestanden met AES (256-bit encryptie sleutel gegenereerd met behulp van CryptGenRandom) en de symmetrische AES-sleutel wordt vervolgens versleuteld met 1024-bit RSA. Om niet om bestanden twee keer te versleutelen, malware voegt de volgende markering aan het einde van elk versleuteld bestand: DoN0t0uch7h!$CrYpteDfilE.
Onderzoekers melden ook dat in zowel Windows als Linux-versies het losgeld boodschap is absoluut identiek, inclusief informatie over het losgeld bedrag en betaling - 222 Bitcoin, Bitcoin adres, en contact e-mail.
Linux / KillDisk Technisch overzicht
De Windows en Linux-versies van KillDisk zijn vrij identiek, maar dit gaat niet naar de technische implementatie. De Linux-versie geeft het losgeld bericht binnen de GRUB bootloader die is vrij ongebruikelijk. Zodra de malware wordt uitgevoerd de bootloader inzendingen worden overschreven, zodat ze het losgeld notitie weer te geven.
Bestanden worden versleuteld met behulp van Triple-DES toegepast op 4096 bytes file blokken. Elk bestand is versleuteld met behulp van een andere set van 64-bit encryptiesleutels.
Na het geïnfecteerde systeem opnieuw wordt opgestart zal het niet meer worden opgestart.
ESET onderzoekers hebben een zwakte waargenomen in de encryptie in de Linux-versie van KillDisk, die herstel mogelijk, maar nog steeds moeilijk maakt. Deze zwakte wordt niet gezien in de Windows-versie.
Zoals reeds gezegd, het betalen van het losgeld zal niet helpen met de ontcijfering van het bestand als de encryptiesleutels gegenereerd op het besmette systeem niet lokaal worden opgeslagen niet naar een command and control-server.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: