Nós recentemente escreveu que o KillDisk malwares tornou-se capaz de criptografar dados. Uma variante recentemente descoberta do malware poderia agir como ransomware ao dinheiro demanda em troca de descriptografia. variante A Linux de KillDisk foi descoberto por pesquisadores da ESET. O malware foi implantado em ataques contra a Ucrânia, no final de 2015 e contra outros alvos no país do setor financeiro em dezembro 2016.
relacionado: Sector Financeiro TeleBots alvo ucraniano com KillDisk Malware
A nova variante tem como alvo os sistemas Linux e torna-los que não arranca, mas primeiro ele criptografa seus dados e exige uma enorme resgate. O resgate exigido pelos criadores de malware é bastante grande para ambos os sistemas Windows e Linux - 222 Bitcoin o que equivale a $247,000. Os pesquisadores dizem que nenhuma vítima pagou, que é uma grande notícia. Pelo visto, os atacantes não podem descriptografar os dados criptografados desde as chaves de criptografia não são nem salvas localmente nem são transmitidos para C&servidores C.
relacionado: KillDisk Malware Agora, um ransomware
De acordo com pesquisadores da ESET, estes recente ransomware KillDisk variantes não são apenas capazes de direcionar sistemas Windows, mas também máquinas Linux, que é uma coisa curiosa para ver no mundo do malware. Os alvos podem ser não só atacar estações de trabalho Linux, mas também servidores.
Windows variantes, detectado pelo ESET como Win32 / KillDisk.NBK e Win32 / KillDisk.NBL, criptografar arquivos com AES (256-chave de criptografia de bits gerada utilizando CryptGenRandom) ea chave AES simétrica é então criptografada usando RSA de 1024 bits. Para não criptografar arquivos duas vezes, o malware acrescenta o seguinte marcador para o final de cada arquivo criptografado: DoN0t0uch7h!$CrYpteDfilE.
Os pesquisadores também relatam que, em ambas as versões Windows e Linux a mensagem de resgate é absolutamente idênticos, incluindo informações sobre a quantidade de resgate e pagamento - 222 Bitcoin, endereço Bitcoin, e-mail de contato.
Linux / KillDisk Visão geral técnica
O Windows e as versões do Linux de KillDisk são bastante idênticos, mas isso não ir para a implementação técnica. A versão Linux exibe a mensagem de resgate dentro do bootloader GRUB, que é bastante incomum. Uma vez que o malware é executado as entradas bootloader será substituído para que eles exibir o bilhete de resgate.
Os arquivos são criptografados usando Triple-DES aplicado a blocos de arquivo de 4096 bytes. Cada arquivo é criptografada usando um conjunto diferente de chaves de criptografia de 64 bits.
Depois que o sistema infectado é reiniciado ele vai se tornar não inicializável.
pesquisadores da ESET têm observado uma fraqueza na criptografia na versão Linux de KillDisk, o que torna possível a recuperação, mas ainda difícil. Esta fraqueza não é visto na versão do Windows.
Como já mencionado, pagar o resgate não vai ajudar com a descriptografia do arquivo como as chaves de criptografia geradas no sistema infectado não são nem salva localmente não enviado para um servidor de comando e controle.