Лаборатория Касперского обнаружила вредоносное программное обеспечение, написанное для Linux – это версия Windows-шифровальщика RansomExx. Обе версии отличаются тем, что они вносятся в системы вручную.
Новый вариант шифровальщика, обнаруженный экспертами «Лаборатории Касперского», является продуктом разработки авторов трояна-шифровальщика RansomExx, на что указывают несколько факторов:
— использование то же модели общения с жертвами вымогательств;
— сходство текстовых версий в переписке о выкупе;
— и, самое существенное, что для специалистов очевидно сходство кода, даже с учётом того, что компиляция его происходила разными средствами и под разные платформы.
RansomExx отметился во многих местах в мире: в Верховном суде справедливости Бразилии, Министерстве транспорта Техаса, компаниях Konica, IPG Photonics и Tyler Technologies…
Особая изощрённость целевого воздействия этого трояна в том, что для его полноценного функционирования сначала происходит взлом сети и системы, и только потом в ручном режиме происходит внедрение шифровальщика.
Таким образом, при таком режиме работы злоумышленники свободно перемещаются внутри сети и системы, что не даёт возможности штатным защитным средствам полноценно реагировать на атаку. Обнаружение таких вторжений возможно только при использовании довольно продвинутых средств детектирования вредоносного поведения и комплексной аналитики. С учётом профессионального уровня разработчиков вредоносного программного обеспечения – это представляет дополнительные сложности, так как они хорошо представляют себе то, как работают системы противодействия и поэтому сводят к минимуму все риски обнаружения.
Подробнее:
Linux-версия представляет собой исполняемый файл ELF под названием «svc-new», при запуске которого генерируется 256-битный ключ, шифрующий все файлы целевой системы с применением блочного шифра AES в режиме ECB. Далее, ключ AES дополнительно шифруется публичным ключом RSA-4096, встроенным в код трояна, и в завершение — он добавляется ко всем зашифрованным файлам.
Отмечено, что у него отсутствуют следующие функции (как ненужные, в силу специфики внедрения):
— обмен данными с командным сервером;
— средства противодействия анализу;
— возможность останавливать процессы.
Кроме того, в отличие от Windows-варианта, новая версия не забивает всё свободное пространство на сервере.
При выплате выкупа жертва получает сразу два декриптора — и для Linux, и для Windows. В исполняемые файлы декрипторов встроены соответствующий публичному приватный ключ RSA-4096 и расширение зашифрованных файлов.