KillDisk بدون رمزگشا و حمله به لینوکس
KillDisk Linux Ransomware
در اوایل سال 2017 محققین شرکت ESET یکگونه جدید از بدافزار KillDisk را کشف کردند که Linux KillDisk بدون رمزگشا و حمله به لینوکس: را هدف قرار میداد و در حملاتی در اواخر 2015 علیه زیرساختارهای حساس کشور اکراین استفاده شد. ای بدافزار نیز در اواخر سال 2016 بخش مالی آن کشور را هدف قرارداد. این نسخه دستگاههای Linux را قفل میکرد و اجازه Boot کردن را به آنها نمیداد و پس از رمزنگاری فایلها درخواست باج زیادی میکرد. محققان میگویند که احتمال رمزگشایی فایلها پس از پرداخت باج بسیار ضعیف است.
KillDisk یک بدافزار مخرب است که در 2015 توسط گروه BlackEnergy با موفقیت علیه شبکه برق و یکی از خبرگزاریهای اصلی کشور اکراین استفاده شد. حملات این بدافزار تکاملیافته و حالا حملهکنندگان از درب پشتیهای Meterpreter استفاده میکنند که قبلاً از API نرمافزار تلگرام ارتباطات با C&C انجام میشد. پیام باج افزار با جمله “ما متأسفیم” شروع میشود و درخواست باج بسیار بالایی را برای رمزگشایی فایلها میکند. این مبلغ 222 Bitcoin یا معادل 250000 دلار است.
تصویر 1: پیام باج KillDisk
گونه KillDisk جدید فایلها را با AES (کلید رمزگذاری 256 bit با استفاده از CryptGenRandom) رمزنگاری میکند و سپس کلید AES با استفاده از RSA 1024 بیت رمزنگاری میشود. برای جلوگیری از دوباره رمزنگاری بدافزار مارکر زیر را به انتهای فایل اضافه میکند: DoN0t0uch7h!$CrYpteDfilE.
تصویر 2: پیام باج KillDisk لینوکسی
پیام در هر دو گونه یکی است اما در نسخه لینوکس مبلغ باج و آدرس ایمیل قیدشده است. اطلاعات باج در هر دو پلتفرم یکسان هستند، اما پیادهسازی فنی آنها تفاوت دارد. پیام باج در داخل GRUB bootloader بهصورت معمولی نشان داده نمیشود. در زمان اجرای بدافزار ورودیهای Bootloader برای نشان دادن “متن دریافت باج” Overwrite میشوند. روال رمزنگاری اصلی بهطور تکراری از ین این پوشهها در root directory عبور میکند و تا 17 زیرشاخه در پوشهها میرسد.
/boot
/bin
/sbin
/lib/security
/lib64/security
/usr/local/etc
/etc
/mnt
/share
/media
/home
/usr
/tmp
/opt
/var
/root
فایلها با استفاده از Triple-DES (بلوکهای فایل 4096-بایت) استفاده میکند. هر فایل با استفاده از کلیدهای رمزگذاری 64-بیت متفاوتی رمزنگاری میشود.
تصویر 3: کد Linux/KillDisk.A که کلیدهای رمزنگاری را انتشار میدهد
بعد از آلوده شدن سیستم و پس از Reboot کاربر قادر به reboot مجدد نخواهد بود. پرداخت باج برای بازیافت دادهها و رمزگشایی امری بیهوده و زمانبر است. کلیدهای رمزگشایی تولیدشده در سیستم کاربر ذخیره نشده و به سرور C&C ارسال نمیشوند، پس کاربر نمیتواند کلید را به دست آورد و درنتیجه امکان رمزگشایی فایلها نیست. محققین میگویند که در ورژن لینوکسی احتمال بازیافت فایلها هست اما این کار بسیار مشکل است و در نسخه ویندوزی باج افزار این امکان وجود ندارد.
نتیجهگیری
در حال مانیتور کردن BlackEnergy و حملات سایبری Telebot ها، یک تکامل جالب در اجزا ساده اما مخرب KillDisk مشاهده شد. با این وضعیت حملهکنندگان میتوانند فایلهای سیستمهای لینوکس را از بین ببرند که پیشرفتی قابلملاحظه است. اضافه شدن عملکردهای جدید به باج افزار نیز کمی غیرعادی به نظر میرسد چون حملات درگذشته عملیات جاسوسی سایبری (cyber-espionage) و تخریب سایبری (cyber-sabotage) بوده است.
با در نظر گرفتن مبالغ بالا باج (حدود 250000 دلار) که احتمالاً قربانیان توان پرداخت آنها ندارند و عدم وجود روش مؤثر رمزگشایی فایلها، به نظر میرسد که این بدافزار فقط جهت تخریب ساختهشده است.
توصیه میشود که اگر قربانی حملات باج افزار شدید، باج را پرداخت نکنید چون تضمینی برای بازگشت فایلهای شما وجود ندارد. بهترین روش جلوگیری از تخریب و از دست دادن دادهها ارائه آموزش، داشتن سیستمهای بهروزرسانی و پچ شده و گرفتن Backup میباشد. همچنین توانایی بازگرداندن دادهها را به حالت اول محک زده و آزمایش کنید.KillDisk بدون رمزگشا و حمله به لینوکس
مشخصههای نقض (Indicators of Compromise)
SHA1 file hashes
Win32/KillDisk.NBK trojan and Win32/KillDisk.NBL trojan:
2379A29B4C137AFB7C0FD80A58020F5E09716437
25074A17F5544B6F70BA3E66AB9B08ADF2702D41
95FC35948E0CE9171DFB0E972ADD2B5D03DC6938
B2E566C3CE8DA3C6D9B4DC2811D5D08729DC2900
84A2959B0AB36E1F4E3ABD61F378DC554684C9FC
92FE49F6A758492363215A58D62DF701AFB63F66
26633A02C56EA0DF49D35AA98F0FB538335F071C
Linux/KillDisk.A trojan:
8F43BDF6C2F926C160A65CBCDD4C4738A3745C0C
پیام باج (Ransom message)
We are so sorry, but the encryption
of your data has been successfully completed,
so you can lose your data or
pay 222 btc to 1Q94RXqr5WzyNh9Jn3YLDGeBoJhxJBigcF
with blockchain.info
contact e-mail:vuyrk568gou@lelantos.org