Malver KillDisk sada napada i Linux, traži 215000 dolara, ali ne može da dešifruje fajlove

Opisi virusa, 09.01.2017, 09:00 AM

Istraživači kompanije ESET otkrili su verziju ransomwarea KillDisk za Linux, koji je poznat kao malver koji briše hard diskove. KillDisk je malver koji je ranije korišćen samo za sabotažu kompanija čiji su podaci nasumnično menjani i brisani.

Istraživači ESET-a su otkrili verziju KillDiska za Linux samo nedelju dana pošto su njihove kolege iz Cyber X-a otkrile verzije malvera KillDisk kojima je dodat i ransomware, ali koje mogu da napadaju samo Windows računare.

Prema rečima stručnjaka ESET-a, način na koji malver radi na Windowsu i Linuxu je potpuno drugačiji. Najveći problem sa KillDiskom na Linuxu je to što malver ne čuva enkripcijski ključ na disku ni na bilo kom drugom mestu. To znači da žrtve neće moći da vrate svoje fajlove jer će ključ biti izgubljen čim se proces enkripcije dovrši.

Dobra vest je da su istraživači ESET-a otkrili propust u verziji malvera za Linux, koji omogućava oporavak šifrovanih fajlova. Taj propust ne postoji u verziji koja inficira Windows računare.

KillDisk koji inficira Windows računare šifruje fajlove AES-256 ključem, a zatim se AES ključevi šifruju javnim RSA-1028 ključem.

Privatni RSA ključ je sačuvan na serveru koji je pod kontrolom kriminalaca. On omogućava napadačima da dešifruju fajlove žrtava ali tek onda kada plate 222 bitcoina (oko 215000 dolara).

Kriminalci dobijaju ključeve preko Telegram protokola zbog čega je grupa koja koristi ovaj ransomware nazvana TeleBots.

Verzija malvera za Linux je znatno drugačija. Prvo i najvažnije, ona ne komunicira preko Telegram protokola sa komando-kontrolnim serverom. Za šifrovanje fajlova se koristi Triple-DES i svaki fajl se šifruje različitim 64-bitnim ključevima.

Fajlovima koje šifruje malver dodaje "DoN0t0uch7h!$CrYpteDfilE".

KillDisk Linux ransomware prepisuje boot sektor i koristi GRUB boot loader da bi prikazao obaveštenje o otkupnini. To obaveštenje je identično onom koje prikazuje verzija malvera za Windows, a ista je i emal adresa preko koje žrtve mogu kontaktirati kriminalce.

Pre nego što mu je dodata ransomware komponenta, KillDisk je korišćen isključivo za sajber špijunažu i diverzije. U novembru 2015. KillDisk je korišćen u napadima na medije u Ukrajini, a mesec dana kasnije i za sabotažu ukrajinske elektrane. Za napade je osumnjičena grupa BlackEnergy.

U decembru prošle godine, grupa TeleBots je koristila KillDisk Windows ransomware za napade na ukrajinske banke.

Za sada nisu pronađeni dokazi da je grupa TeleBots povezana sa grupom BlackEnergy. U svim napadima, BlackEnergy je koristio KillDisk za uništavanje računara i brisanje dokaza o napadima u kojima je grupa koristila i druge malvere.

Dodati ransomware je možda način da za prikrivanje napada. Napadnute kompanije će obratiti pažnju na ransomware, ne analizirajući druge tragove. Prevelika okupnina koju traži ransomware može biti deo istog scenarija. Apsurdno je i pomisliti da bi neka firma izdvojila toliki novac da bi vratila fajlove. To je ono čemu se nada grupa TeleBots - da će kompanije odustati od plaćanja. Tako će drugi znaci i tragovi upada grupe u sisteme ostati zauvek šifrovani i izgubljeni.