KillDisk атакует Linux, требуя выкуп $250 тыс. за дешифрование

Руководитель отдела разработок интернационального создателя антивирусного программного обеспечения, компании ESET Роберт Липовски объявил, что обновленная версия вредной программы Троян KillDisk атакует компьютеры на базе ОС Linux.

KillDisk — деструктивный компонент, который употреблялся в атаках на украинские энергетические и финансовые компании в 2015 и 2016 гг. А в недалеком прошлом профессионалы ESET обнаружили диверсионные кибератаки, запланированные на 6 декабря минувшего года, на ряд целей в рамках финансового сектора Украины.

Ученые пишут, что улучшенный KillDisk представляет опасность для компьютеров и серверов, работающих как под управлением Windows, так и Linux. К началу зимы 2015-го года атаки KillDisk продолжились, причём злоумышленники начали использовать дополнительные инструменты (в частности, бэкдор Meterpreter). Набор инструментов для атаки также расширился в сравнении с 2015 годом. Сейчас этот вирус получил функции шифрования файлов. Естественно, платить не стоит; помимо этого, есть подозрение, что ключи шифрования не хранятся на локальных дисках и не передаются на сервер, так что они могут автоматом удаляться после создания. Во избежание повторного шифрования файлов угроза добавляет специальный маркер в конце любого зашифрованного файла: DoN0t0uch7h!$CrYpteDfilE. Для любого файла применяется различный набор 64-битных ключей шифрования.

KillDisk для Linux шифрует файлы с помощью алгоритма Triple-DES. Так как ключи шифрования нигде не сохраняются, после перезагрузки зараженной системы жертва теряет свои данные бесповоротно. С другой стороны, по оценке ESET, в работе Linux-версии присутствует уязвимость, благодаря которой восстановление возможно. Если же вы стали жертвой данных программ-вымогателей, ни в коем случае не платите выкуп, так как нет никаких гарантий, что вы сможете вернуть потерянные данные.

  • Якшинa Надежда Юлиевна