web analytics

KillDisk Ransomware op Linux

Print Friendly, PDF & Email

De Killdisk Ransomware richt zijn pijlen nu ook op Linux, belet het opstarten en heeft een gebrekkige vercijfering

Onderzoekers van ESET hebben een Linux variant van de Windows KillDisk ransomware ontdekt, die een extra variant van de KillDisk Disk Wiper malware wordt, die vroeger enkel gebruikt werd om bij bedrijven lukraak bestanden te wissen en bestanden te wijzigen.

De KilDisk ransomware die het op Linux computers heeft gemunt werd gedetecteerd door Eset, een week nadat onderzoekers van CyberX de eerste KillDisk versies die ransomware aanvallen doen, ontdekten. Deze versies richtten hun pijlen enkel op Windows PC’s.

De Linux versie kwakkelt met de vercijferingssleutel

Volgens ESET is de manier waarop de Windows versie en de Linux versie van de malware werken, volledig verschillend. Met als grootste verschil het feit dat de Linux versie de vercijfersleutel nergens opslaat, noch online, noch op je harde schijf.

Dat zou normaal betekenen dat Linux slachtoffers nooit de vercijferde bestanden zouden kunnen herstellen, daar de sleutel nergens te vinden is. Het goede nieuws is dat de ESET onderzoekers een gebrek hebben ontdekt in de Linux variant die je toelaat je vercijferde bestanden te herstellen maar die zou aartsmoelijk zijn.

Dit gebrek vind je niet terug in de Windows variant.

KillDisk ransomware, Windows variant

Deze versie werkt door elk bestand te vercijferen via een AES-256 sleutel om vervolgens de AES-sleutels te vercijferen met een publieke RSA-1028 sleutel.

Een privé RSA sleutel opgeslagen op de PC van de oplichter laat toe de bestanden van het slachtoffer te ontcijferen, maar alleen nadat de slachtoffer de fenomenale som van 222 Bitcoin (190,984 Eur) betaald heeft.

Hieronder een screenshot van de ransomware in actie op een Windows PC.

De oplichters ontvingen de vercijfersleutels op hun servers via het Telegram protocol, dat gebruikt wordt door de gelijkname IM chat app. Daarom worden de oplichters door CyberX als de TeleBots groep aangeduid.

KillDisk ransomware, Linux variant

Deze versie is verschillend van de Windows versie. Zo ‘praat’ de Linux versie niet met zijn C & C server (Command-and-Control server) via de Telegram API en de vercijfering is ook verschillend.

Volgens de onderzoekers worden de bestand van het slachtoffer vercijferd met Triple-DES toegepast op 4096-byte gegevensblokken en vervolgens wordt elk bestand vercijferd met een verschillende set van 64-bit vercijfer sleutels.

De Linux variant vercijfert de volgende mappen, tot 17 niveaus diep en voegt overal de tekst DoN0t0uch7h!$CrYpteDfilE aan de bestandsnaam toe.

/boot
/bin
/sbin
/lib/security
/lib64/security
/usr/local/etc
/etc
/mnt
/share
/media
/home
/usr
/tmp
/opt
/var
/root

De KillDisk Ransomware herschrijft ook de boot record en zal de Grub bootloader gebruiken om zijn eisen te tonen.

De tekst is identiek aan die van de Windows versie, inclusief het e-mail adres waar de slachtoffers in contact kunnen komen met de oplichters

Het is volledig nutteloos om over te gaan tot betaling van het waanzinnig hoog losgeld, daar de ontcijfersleutels nergens opgeslagen zijn.

Hoe je beveiligen?

Ik heb tot nu nergens kunnen terugvinden hoe de payload op je Linux machine geplaatst wordt, maar volgens Security.nl “ESET laat in een reactie aan Security.NL weten dat de Linux-versie van de malware waarschijnlijk via gerichte phishingmails wordt verspreid, net als met de Windows-versie het geval is.

Daarmee wet ik nog altijd niet hoe de ransomware aan het root wachtwoord komt.

We kunnen het niet genoeg zeggen: Gebruik een goed wachtwoord, open geen vreemde bijlagen, beperk het aantal PPA’s, zorg voor een goede backup strategie, …

Je moet je dus zelf in de voet schieten om besmet te geraken, of om het eens anders te formuleren:

PICNIC
Problem In Chair, Not In Computer

304 totaal aantal vertoningen, 4 aantal vertoningen vandaag

Beoordeling

1 Reactie

  1. Luc Debecker

    Draai daarom firejail in progs zoals firefox, thunderbird, deluge, filezilla, enz… De malware kan zich nooit verspreiden naar je home folder.

    Reageren

Geef een reactie

%d bloggers liken dit: