Печально известный троян научился шифровать серверы на Linux
Источник: CNews.
Ручная работа
Печально известный шифровальщик RansomExx теперь атакует серверы под Linux. Раньше у него была только Windows-версия.
Новый вариант был обнаружен экспертами «Лаборатории Касперского». На то, что это именно Linux-версия уже известного шифровальщика, указывали сразу несколько факторов: во-первых, использование одной и той же модели вымогательства в целом, во-вторых, сходство сообщений с требованием выкупа, а в-третьих (и это самое существенное) совершенно очевидное сходство программного кода, даже притом, что он компилировался под разные платформы и с разными средствами оптимизации.
RansomExx был замечен в атаках на Верховный суд справедливости Бразилии, Министерство транспорта штата Техас (США), корпорации Konica Minolta, а также компаний IPG Photonics и Tyler Technologies.
Особую угрозу этот вредонос составляет ещё и потому, что его операторы взламывают целевые сети и системы, а затем подсаживают туда шифровальщик.
«Ручные» атаки зачастую намного опаснее автоматических: злоумышленники используют, как правило, совершенно легитимные средства для перемещения внутри атакуемой сети, тем самым оставаясь незамеченными для стандартных защитных средств, - отмечает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Детектирование ручных атак возможно, но только с помощью продвинутых средств обнаружения вредоносного поведения и аналитики. При этом злоумышленники обычно хорошо знают, как работают подобные системы, на что они среагируют и что можно предпринять, чтобы минимизировать риск обнаружения».
Платформы разные, суть одна
Linux-версия шифровальщика представляет собой исполняемый файл ELF под названием «svc-new».
При его запуске генерируется 256-битный ключ, который шифрует все файлы на сервере, применяя блочный шифр AES в режиме ECB. В свою очередь, ключ AES шифруется с помощью публичного ключа RSA-4096, встроенного в код вредоноса; затем он добавляется ко всем зашифрованным файлам.
Эксперты отметили, что у вредоноса отсутствуют такие распространённые функции как обмен данными с командным сервером, средства противодействия анализу и возможность останавливать процессы. Кроме того, в отличие от Windows-варианта, новая версия не забивает всё свободное пространство на сервере.
При выплате выкупа жертва получает сразу два декриптора - и для Linux, и для Windows. В исполняемые файлы декрипторов встроены соответствующий публичному приватный ключ RSA-4096 и расширение зашифрованных файлов.
