KillDisk بدون رمزگشا و حمله به لینوکس

KillDisk Linux Ransomware

در اوایل سال 2017 محققین شرکت ESET یک‌گونه جدید از بدافزار KillDisk را کشف کردند که Linux  KillDisk بدون رمزگشا و حمله به لینوکس:  را هدف قرار می‌داد و در حملاتی در اواخر 2015 علیه زیرساختارهای حساس کشور اکراین استفاده شد. ای بدافزار نیز در اواخر سال 2016 بخش مالی آن کشور را هدف قرارداد. این نسخه دستگاه‌های Linux را قفل می‌کرد و اجازه Boot کردن را به آن‌ها نمی‌داد و پس از رمزنگاری فایل‌ها درخواست باج زیادی می‌کرد. محققان میگویند که احتمال رمزگشایی فایل‌ها پس از پرداخت باج بسیار ضعیف است.

KillDisk یک بدافزار مخرب است که در 2015 توسط گروه BlackEnergy با موفقیت علیه شبکه برق و یکی از خبرگزاری‌های اصلی کشور اکراین استفاده شد. حملات این بدافزار تکامل‌یافته و حالا حمله‌کنندگان از درب پشتی‌های Meterpreter استفاده می‌کنند که قبلاً از API نرم‌افزار تلگرام ارتباطات با C&C انجام می‌شد. پیام باج افزار با جمله “ما متأسفیم” شروع می‌شود و درخواست باج بسیار بالایی را برای رمزگشایی فایل‌ها می‌کند. این مبلغ 222 Bitcoin یا معادل 250000 دلار است.

تصویر 1: پیام باج KillDisk

گونه KillDisk جدید فایل‌ها را با AES (کلید رمزگذاری 256 bit با استفاده از CryptGenRandom) رمزنگاری می‌کند و سپس کلید AES با استفاده از RSA 1024 بیت رمزنگاری می‌شود. برای جلوگیری از دوباره رمزنگاری بدافزار مارکر زیر را به انتهای فایل اضافه می‌کند: DoN0t0uch7h!$CrYpteDfilE.

تصویر 2: پیام باج KillDisk لینوکسی

پیام در هر دو گونه یکی است اما در نسخه لینوکس مبلغ باج و آدرس ایمیل قیدشده است. اطلاعات باج در هر دو پلتفرم یکسان هستند، اما پیاده‌سازی فنی آن‌ها تفاوت دارد. پیام باج در داخل GRUB bootloader به‌صورت معمولی نشان داده نمی‌شود. در زمان اجرای بدافزار ورودی‌های Bootloader برای نشان دادن “متن دریافت باج” Overwrite می‌شوند. روال رمزنگاری اصلی به‌طور تکراری از ین این پوشه‌ها در root directory عبور می‌کند و تا 17 زیرشاخه در پوشه‌ها می‌رسد.

/boot
/bin
/sbin
/lib/security
/lib64/security
/usr/local/etc
/etc
/mnt
/share
/media
/home
/usr
/tmp
/opt
/var
/root

فایل‌ها با استفاده از Triple-DES (بلوک‌های فایل 4096-بایت) استفاده می‌کند. هر فایل با استفاده از کلیدهای رمزگذاری 64-بیت متفاوتی رمزنگاری می‌شود.

تصویر 3: کد Linux/KillDisk.A که کلیدهای رمزنگاری را انتشار می‌دهد

بعد از آلوده شدن سیستم و پس از Reboot کاربر قادر به reboot مجدد نخواهد بود. پرداخت باج برای بازیافت داده‌ها و رمزگشایی امری بیهوده و زمان‌بر است. کلیدهای رمزگشایی تولیدشده در سیستم کاربر ذخیره نشده و به سرور C&C ارسال نمی‌شوند، پس کاربر نمی‌تواند کلید را به دست آورد و درنتیجه امکان رمزگشایی فایل‌ها نیست. محققین میگویند که در ورژن لینوکسی احتمال بازیافت فایل‌ها هست اما این کار بسیار مشکل است و در نسخه ویندوزی باج افزار این امکان وجود ندارد.

نتیجه‌گیری
در حال مانیتور کردن BlackEnergy و حملات سایبری Telebot ها، یک تکامل جالب در اجزا ساده اما مخرب KillDisk مشاهده شد. با این وضعیت حمله‌کنندگان می‌توانند فایل‌های سیستم‌های لینوکس را از بین ببرند که پیشرفتی قابل‌ملاحظه است. اضافه شدن عملکردهای جدید به باج افزار نیز کمی غیرعادی به نظر می‌رسد چون حملات درگذشته عملیات جاسوسی سایبری (cyber-espionage) و تخریب سایبری (cyber-sabotage) بوده است.

با در نظر گرفتن مبالغ بالا باج (حدود 250000 دلار) که احتمالاً قربانیان توان پرداخت آن‌ها ندارند و عدم وجود روش مؤثر رمزگشایی فایل‌ها، به نظر می‌رسد که این بدافزار فقط جهت تخریب ساخته‌شده است.

توصیه می‌شود که اگر قربانی حملات باج افزار شدید، باج را پرداخت نکنید چون تضمینی برای بازگشت فایل‌های شما وجود ندارد. بهترین روش جلوگیری از تخریب و از دست دادن داده‌ها ارائه آموزش، داشتن سیستم‌های به‌روزرسانی و پچ شده و گرفتن Backup می‌باشد. همچنین توانایی بازگرداندن داده‌ها را به حالت اول محک زده و آزمایش کنید.KillDisk بدون رمزگشا و حمله به لینوکس

مشخصه‌های نقض (Indicators of Compromise)

SHA1 file hashes
Win32/KillDisk.NBK trojan and Win32/KillDisk.NBL trojan:
2379A29B4C137AFB7C0FD80A58020F5E09716437
25074A17F5544B6F70BA3E66AB9B08ADF2702D41
95FC35948E0CE9171DFB0E972ADD2B5D03DC6938
B2E566C3CE8DA3C6D9B4DC2811D5D08729DC2900
84A2959B0AB36E1F4E3ABD61F378DC554684C9FC
92FE49F6A758492363215A58D62DF701AFB63F66
26633A02C56EA0DF49D35AA98F0FB538335F071C
Linux/KillDisk.A trojan:
8F43BDF6C2F926C160A65CBCDD4C4738A3745C0C

پیام باج (Ransom message)

We are so sorry, but the encryption
of your data has been successfully completed,
so you can lose your data or
pay 222 btc to 1Q94RXqr5WzyNh9Jn3YLDGeBoJhxJBigcF
with blockchain.info
contact e-mail:vuyrk568gou@lelantos.org