Печально известный троян научился шифровать сервера на Linux

Ручная работа

Печально известный шифровальщик RansomExx теперь атакует серверы под Linux. Раньше у него была только Windows-версия.

Новый вариант был обнаружен экспертами «Лаборатории Касперского». На то, что это именно Linux-версия уже известного шифровальщика, указывали сразу несколько факторов: во-первых, использование одной и той же модели вымогательства в целом, во-вторых, сходство сообщений с требованием выкупа, а в-третьих (и это самое существенное) совершенно очевидное сходство программного кода, даже притом, что он компилировался под разные платформы и с разными средствами оптимизации.

RansomExx был замечен в атаках на Верховный суд справедливости Бразилии, Министерство транспорта штата Техас (США), корпорации Konica Minolta, а также компаний IPG Photonics и Tyler Technologies.

Особую угрозу этот вредонос составляет ещё и потому, что его операторы взламывают целевые сети и системы, а затем подсаживают туда шифровальщик.

Известный шифровальщик RansomExx начал атаковать серверы под Linux

«Ручные» атаки зачастую намного опаснее автоматических: злоумышленники используют, как правило, совершенно легитимные средства для перемещения внутри атакуемой сети, тем самым оставаясь незамеченными для стандартных защитных средств, - отмечает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Детектирование ручных атак возможно, но только с помощью продвинутых средств обнаружения вредоносного поведения и аналитики. При этом злоумышленники обычно хорошо знают, как работают подобные системы, на что они среагируют и что можно предпринять, чтобы минимизировать риск обнаружения».

Платформы разные, суть одна

Linux-версия шифровальщика представляет собой исполняемый файл ELF под названием «svc-new».

При его запуске генерируется 256-битный ключ, который шифрует все файлы на сервере, применяя блочный шифр AES в режиме ECB. В свою очередь, ключ AES шифруется с помощью публичного ключа RSA-4096, встроенного в код вредоноса; затем он добавляется ко всем зашифрованным файлам.

Эксперты отметили, что у вредоноса отсутствуют такие распространённые функции как обмен данными с командным сервером, средства противодействия анализу и возможность останавливать процессы. Кроме того, в отличие от Windows-варианта, новая версия не забивает всё свободное пространство на сервере.

При выплате выкупа жертва получает сразу два декриптора - и для Linux, и для Windows. В исполняемые файлы декрипторов встроены соответствующий публичному приватный ключ RSA-4096 и расширение зашифрованных файлов.

Другие новости и проекты

В Huawei полетели головы: В топ-менеджменте нашлись американские шпионы

Huawei начала увольнять сотрудников, в той или иной степени связанных с США. Своих должностей лишатся те, кто работал или учился в Штатах или имеет вид на жительство в этой стране. Huawei считает, что американская разведка вербует таких людей для слежки в пользу США и стремится помешать ей. Первыми уволенными стали два высокопоставленных топ-менеджера – глава крупного подразделения и директор HiSilicon, «дочки» Huawei по разработке процессоров.

Проект для нефтегазовой компании

КорпТех выполняет работы по оптимизации внутренней бизнес-отчетности для нефтегазовой компании.

Китай — лидер «удобной» экономики

Начиная с оплаты через QR-коды и заканчивая подпрограммами в приложениях, китайский потребитель обслуживается на более высоком уровне в плане удобства онлайн и оффлайн торговли, по сравнению с западным потребителем в «старой сети».

Смотреть все