Новый KillDisk для Linux требует за расшифровку данных свыше $200 тыс.

Безопасность Пользователю
мобильная версия
, Текст: Татьяна Короткова

Вирусная лаборатория Eset обнаружила новую версию вредоносной программы KillDisk, предназначенную для атак на Linux-устройства. Зловред приобрел также функции шифратора, сообщили CNews в Eset.

KillDisk — деструктивный компонент, который использовался в атаках на украинские энергетические и финансовые компании в 2015 и 2016 гг. В декабре 2016 г. специалисты Eset изучали версию KillDisk, которая удаляла важные системные файлы, в результате чего зараженный компьютер переставал загружаться. Взамен удаленных программа создавала новые файлы, содержащие строку mrR0b07 или fS0cie7y — отсылки к сериалу «Мистер Робот».

Последние версии KillDisk получили новые функции — они шифруют файлы на зараженном устройстве и требуют выкуп за восстановление данных. Сумма выкупа рекордная — 222 биткоина (больше $200 тыс.).

Новейший KillDisk атакует как Windows, так и Linux-системы. В числе потенциальных жертв — не только рабочие станции, но и серверы, что увеличивает возможный ущерб. Требования выкупа в Windows и Linux-версиях идентичны, рассказали в компании.

Windows-версия деструктивного компонента использует алгоритм шифрования AES с 256-битным ключом (свой ключ для каждого файла). Ключ для расшифровки хранится на сервере злоумышленников.

По словам экспертов Eset, KillDisk для Linux шифрует файлы при помощи алгоритма Triple-DES. Программа не хранит ключ шифрования на зараженном компьютере и не отправляет его на удаленный сервер, поэтому даже уплата выкупа не гарантирует восстановления данных. С другой стороны, по оценке Eset, в работе Linux-версии присутствует уязвимость, благодаря которой восстановление возможно.

Вирусная лаборатория Eset наблюдала эволюцию деструктивного компонента KillDisk в различных кибератаках. Эксперты подчеркивают, что взаимосвязь между организаторами атак не доказана.