Лаборатория Касперского обнаружила вредоносное программное обеспечение, написанное для Linux – это версия Windows-шифровальщика RansomExx. Обе версии отличаются тем, что они вносятся в системы вручную.

 

Новый вариант шифровальщика, обнаруженный экспертами «Лаборатории Касперского», является продуктом разработки авторов трояна-шифровальщика RansomExx, на что указывают несколько факторов:

 

— использование то же модели общения с жертвами вымогательств;

— сходство текстовых версий в переписке о выкупе;

— и, самое существенное, что для специалистов очевидно сходство кода, даже с учётом того, что компиляция его происходила разными средствами и под разные платформы.

 

 

RansomExx отметился во многих местах в мире: в Верховном суде справедливости Бразилии, Министерстве транспорта Техаса, компаниях Konica, IPG Photonics и Tyler Technologies…

Особая изощрённость целевого воздействия этого трояна в том, что для его полноценного функционирования сначала происходит взлом сети и системы, и только потом в ручном режиме происходит внедрение шифровальщика.

 

Таким образом, при таком режиме работы злоумышленники свободно перемещаются внутри сети и системы, что не даёт возможности штатным защитным средствам полноценно реагировать на атаку. Обнаружение таких вторжений возможно только при использовании довольно продвинутых средств детектирования вредоносного поведения и комплексной аналитики. С учётом профессионального уровня разработчиков вредоносного программного обеспечения – это представляет дополнительные сложности, так как они хорошо представляют себе то, как работают системы противодействия и поэтому сводят к минимуму все риски обнаружения.

 

Подробнее:

 

Linux-версия представляет собой исполняемый файл ELF под названием «svc-new», при запуске которого генерируется 256-битный ключ, шифрующий все файлы целевой системы с применением блочного шифра AES в режиме ECB. Далее, ключ AES дополнительно шифруется публичным ключом RSA-4096, встроенным в код трояна, и в завершение — он добавляется ко всем зашифрованным файлам.

 

Отмечено, что у него отсутствуют следующие функции (как ненужные, в силу специфики внедрения):

— обмен данными с командным сервером;

— средства противодействия анализу;

— возможность останавливать процессы.

 

Кроме того, в отличие от Windows-варианта, новая версия не забивает всё свободное пространство на сервере.

 

При выплате выкупа жертва получает сразу два декриптора — и для Linux, и для Windows. В исполняемые файлы декрипторов встроены соответствующий публичному приватный ключ RSA-4096 и расширение зашифрованных файлов.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

GPD ХОСТИНГ КОНТАКТЫ
GPD ХОСТИНГ СОЦ.СЕТИ
МЕТОДЫ ОПЛАТЫ