Злоумышленники используют KillDisk для атак на Linux-системы


Злоумышленники используют KillDisk для атак на Linux-системы

Малварь приобрела также функции шифратора.

KillDisk является деструктивным вредоносом, ставший известным благодаря атаке на энергетические системы Украинского государства в начале зимы позапрошлого 2015 г. К началу зимы 2016-ого профессионалы ESET учили версию KillDisk, которая удаляла главные системные файлы, в последствии этого зараженный компьютер прекращал загружаться.

Кроме этого, если для проведения атак 6 декабря киберпреступники использовали «художественные» методы в виде заставки ссылаясь на известный сериал «Mr. Robot», то заключительная модификация угрозы владеет свежей функцией — шифрование файлов жертвы. За разблокировку зараженных устройств создатели данного вымогательского ПО требуют огромную сумму — 222 биткоина (более 200 тыс. долларов). Взамен удаленных программа создавала новые файлы, содержащие строчку mrR0b07 либо fS0cie7y — отсылки к сериалу «Мистер Робот».

Новые возможности KillDisk позволяют управлять вредоносом через C&C сервер и использовать приложение в качестве шифровальщика-вымогателя. В числе потенциальных жертв не только лишь рабочие станции, однако и серверы, что увеличивает возможный вред. После ребута инфицированная ОС не загружается, а требование о выкупе выводится прямо в меню загрузчика GRUB. Естественно, платить не стоит; кроме этого, есть подозрение, что ключи шифрования не хранятся на локальных дисках и не передаются на сервер, так что они могут автоматом удаляться после создания. Как выяснилось, KillDisk использует шифр Triple-DES, выполняемый на файловых блоках 4096 байт, а для любого файла применяется собственный набор 64-битных ключей.

Файлы на устройстве жертвы шифруются при помощи Triple-DES в файловые блоки по 4096 байт.

По данным ESET, новая вариация KillDisk — это разработка хакерской группы TeleBots, в которую, как считают ученые, эволюционировала группировка Sandworm. Программа не сохраняет ключ шифрования на зараженном компьютере и не отправляет его на удаленный сервер, поэтому даже уплата выкупа не гарантирует восстановления данных. Специалисты подчеркивают, что связь между организаторами атак не подтверждена.

Похожие статьи:

Свежие новости

Один человек пострадал в столкновении автобуса и маршрутки в столице РФ

Шофёр рейсового автобуса умер в Арзамасском районе Нижегородской области

В зоне АТО в Рождество ранены трое бойцов ВСУ

Александр Овечкин: «Оказаться в одной компании с Ришаром — это внушительная честь»

Таиланд сетует на проблемы с поставками украинских танков

Скончался выдающийся русский биолог Алексей Яблоков

Луговой связал попадание в «список Магнитского» с желанием Обамы «нагадить» РФ

«Брошенная под автобус Украина вам еще аукнется». Европейские лидеры обратились к Трампу

Названы страны с самыми высокими расходами на кибервойска

На 35% уменьшилось количество заболевших гриппом на протяжении новогодних каникул

В ДНР сообщили о попытке прорыва украинских военных на западе Донецка

Свитолина установила новый рекорд в истории украинского тенниса

Мечтам о общедоступном телефоне ASUS ZenFone 3 Zoom не суждено сбыться

Социальная сеть Facebook будет демонстрировать рекламу в середине видео

Пострадали три жителя Тольятти, один ребенок умер — ДТП под Курганом

Other news