Вирусная лаборатория ESET обнаружила новую версию вредоносной программы KillDisk с функциями шифратора, предназначенную для атак на Linux-устройства.
KillDisk — деструктивный компонент, который использовался в атаках на украинские энергетические и финансовые компании в 2015-2016 годах. В минувшем декабре специалисты ESET изучали версию KillDisk, которая удаляла важные системные файлы, в результате чего зараженный компьютер переставал загружаться. Взамен удаленных программа создавала новые файлы, содержащие строку mrR0b07 или fS0cie7y — отсылки к сериалу «Мистер Робот».
Последние версии KillDisk получили новые функции — они шифруют файлы на зараженном устройстве и требуют выкуп за восстановление данных. Сумма выкупа рекордная — 222 биткоина (больше 200 тыс. долларов).
Новейший KillDisk атакует как Windows, так и Linux-системы. В числе потенциальных жертв не только рабочие станции, но и серверы, что увеличивает возможный ущерб. Требования выкупа в Windows и Linux-версиях идентичны.
Windows-версия деструктивного компонента использует алгоритм шифрования AES с 256-битным ключом (свой ключ для каждого файла). Ключ для расшифровки хранится на сервере злоумышленников.
KillDisk для Linux шифрует файлы при помощи алгоритма Triple-DES. Программа не хранит ключ шифрования на зараженном компьютере и не отправляет его на удаленный сервер, поэтому даже уплата выкупа не гарантирует восстановления данных. С другой стороны, по оценке ESET, в работе Linux-версии присутствует уязвимость, благодаря которой восстановление возможно.
Вирусная лаборатория ESET наблюдала эволюцию деструктивного компонента KillDisk в различных кибератаках. Эксперты подчеркивают, что взаимосвязь между организаторами атак не доказана.