Linux үшін RansomEXX нұсқасы анықталды

Бастап зерттеушілер «Касперский зертханасы» анықтады Linux нұсқасы dтөлем бағдарламасының зиянды бағдарламасы «RansomEXX».

Бастапқыда, RansomEXX тек Windows платформасында таратылды әр түрлі мемлекеттік мекемелер мен компаниялардың жүйелерін, соның ішінде Техастың көлік департаменті мен Konica Minolta жүйесін бұзуымен байланысты бірнеше ірі оқиғалардың арқасында танымал болды.

RansomEXX туралы

RansomEXX деректерді дискіде шифрлайды, содан кейін төлем қажет дешифрлеу кілтін алу үшін. 

Шифрлау кітапхананың көмегімен ұйымдастырылған mbedtls de Ашық ақпарат көзі. Іске қосылғаннан кейін, зиянды бағдарлама 256 биттік кілт жасайды және оны ECB режимінде AES блоктық шифрлауды қолдана отырып, барлық қол жетімді файлдарды шифрлау үшін қолданады. 

Содан кейін, секунд сайын жаңа AES кілті жасалады, яғни әр түрлі файлдар әр түрлі AES кілттерімен шифрланған.

Әр AES кілті RSA-4096 ашық кілті көмегімен шифрланған зиянды бағдарламаның кодына енгізілген және әрбір шифрланған файлға тіркелген. Шифрды ашу үшін төлем программасы олардан жеке кілт сатып алуды ұсынады.

RansomEXX ерекшелігі Бұл сіздің мақсатты шабуылдарда қолдану, осы уақытта шабуылдаушылар осалдықтардың немесе әлеуметтік инженерлік әдістердің ымырасы арқылы желідегі жүйелердің біріне қол жеткізе алады, содан кейін олар басқа жүйелерге шабуыл жасайды және әр шабуылдалған инфрақұрылым үшін зиянды бағдарламалардың арнайы жинақталған нұсқасын, соның ішінде компанияның және әрқайсысының атын қосады әртүрлі байланыс деректері.

Бастапқыда корпоративті желілерге шабуыл кезінде, шабуылдаушылар олар бақылауды өз қолдарына алуға тырысты оларға зиянды бағдарламалық жасақтаманы орнату үшін мүмкіндігінше көп жұмыс станциялары, бірақ бұл стратегия дұрыс емес болып шықты және көптеген жағдайларда төлемдер төлемей сақтық көшірмесін қолдану арқылы жүйелер жай қалпына келтірілді. 

Қазір киберқылмыскерлердің стратегиясы өзгерді y олардың мақсаты бірінші кезекте корпоративтік серверлік жүйелерді жеңу болды және әсіресе орталықтандырылған сақтау жүйелеріне, соның ішінде Linux жүйесімен.

Сондықтан RansomEXX трейдерлері бұл саланы анықтайтын үрдіске айналдырғанын көру таңқаларлық емес еді; Болашақта басқа бағдарламалық қамтамасыз ету операторлары да Linux нұсқаларын қолдана алады.

Жақында біз ELF-тің орындалатын және Linux негізіндегі операциялық жүйелермен басқарылатын машиналардағы деректерді шифрлауға арналған файлдық шифрлаудың жаңа троянын таптық.

Алғашқы талдаудан кейін біз трояндық кодтың, төлем ноталарының мәтінінің және бопсалауға жалпы көзқарастың ұқсастығын байқадық, бұл біз шынымен бұрын белгілі болған RansomEXX төлем бағдарламасының Linux құрамын таптық деген болжам жасадық. Бұл зиянды бағдарлама ірі ұйымдарға шабуыл жасайтыны белгілі және ең белсенді осы жылдың басында болды.

RansomEXX - өте нақты троян. Зиянды бағдарламаның әрбір үлгісі құрбан болған ұйымның кодталған атауынан тұрады. Сонымен қатар, шифрланған файлдың кеңеюі де, бопсалаушылармен байланысу үшін электрондық пошта мекен-жайы да жәбірленушінің атын пайдаланады.

Және бұл қозғалыс басталған сияқты. Emsisoft киберқауіпсіздік фирмасының айтуынша, RansomEXX-тен басқа, Mespinoza (Pysa) төлем бағдарламасының операторлары да жақында Windows-тың бастапқы нұсқасынан Linux нұсқасын жасады. Emsisoft айтуынша, олар ашқан RansomEXX Linux нұсқалары алғаш рет шілде айында енгізілген.

Бұл зиянды бағдарлама операторлары өздерінің зиянды бағдарламаларының Linux нұсқасын жасауды бірінші рет қарастырған жоқ.

Мысалы, біз 2015 жылы Украинада электр желісін парализдеу үшін қолданылған KillDisk зиянды бағдарламасын келтіре аламыз.

Бұл нұсқа «файлдарды шифрлап, үлкен төлемді талап еткеннен кейін Linux машиналарын жүктеу мүмкін болмады». Оның Windows үшін нұсқасы және Linux үшін нұсқасы болған, «бұл біз күнде көре бермейтін нәрсе», - деп атап өтті ESET зерттеушілері.

Сонымен, егер сіз бұл туралы көбірек білгіңіз келсе, сіз Kaspersky басылымының мәліметтерін тексере аласыз Келесі сілтемеде.


Мақаланың мазмұны біздің ұстанымдарымызды ұстанады редакторлық этика. Қате туралы хабарлау үшін нұқыңыз Мұнда.

3 пікір, өз пікіріңізді қалдырыңыз

Пікіріңізді қалдырыңыз

Сіздің электрондық пошта мекен-жайы емес жарияланады. Міндетті өрістер таңбаланған *

*

*

  1. Деректерге жауапты: Мигель Анхель Гатан
  2. Деректердің мақсаты: СПАМ-ны басқару, түсініктемелерді басқару.
  3. Заңдылық: Сіздің келісіміңіз
  4. Деректер туралы ақпарат: заңды міндеттемелерді қоспағанда, деректер үшінші тұлғаларға жіберілмейді.
  5. Деректерді сақтау: Occentus Networks (ЕО) орналастырған мәліметтер базасы
  6. Құқықтар: Сіз кез-келген уақытта ақпаратты шектей, қалпына келтіре және жоя аласыз.

  1.   TucuHacker.es дижо

    Керемет! Жақсы пост! Алақай!

    1.    LinuxMain дижо

      Linux зиянды бағдарламадан аулақ болу үшін менің жалғыз құтқаруым болды, бұл өте ұят ...

  2.   # Тағы бір рет төлемді керемет жасаңыз дижо

    ҚАНДАЙ ҮЛКЕН! БІЗДІҢ RANSOMEXX-тің қайта тірілетіндігін білдік!