بدافزار KillDisk ماشین‌های لینوکس را هدف قرار داده است

محققان امنیتی ESET هشدار دادند بدافزار مخرب KillDisk که قبلاً به سامانه‌های صنعتی حمله کرده بود، اینک ماشین‌های لینوکس را هدف قرار داده است. این بدافزار به گروه نفوذ BlackEnergy نسبت داده می‌شود. محققان امنیتی کشف کردند این گروه در حملات خود در سال ۲۰۱۵ به نیروگاه‌های انرژی اوکراین، از بدافزار KillDisk استفاده می‌کردند.

این بدافزار بسیار مخرب است چرا که می‌تواند کل پرونده‌های هارد را پاک‌سازی کرده و سامانه‌ها را از کار بیندازد. اخیراً نیز در خبری گزارش دادیم که به این بدافزار قابلیت‌های رمزنگاری پرونده نیز اضافه شده و همچون یک باج‌افزار رفتار می‌کند. برای این منظور بدافزار امتیازات خود را ارتقاء داده و خود را به‌عنوان یک سرویس ثبت می‌کند. همچنین بدافزار فرآیندهای مختلفی را خاتمه می‌دهد هرچند از خاتمه دادن به فرآیندهای اساسی و مهم صرف‌نظر می‌کند تا شناسایی نشود.

محققان امنیتی معتقدند این بدافزار به گروه نفوذ TeleBots مرتبط است و این گروه نیز توسعه‌یافته‌ی گروه نفوذ روسی BlackEnergy است. نفوذگران این گروه با ابزارهای مختلفی از جمله نسخه‌ی جدید بدافزار KillDisk سامانه‌های مالی اوکراین را هدف قرار دادند. این بدافزار پس از مدت زمان مشخصی بر روی سامانه‌ی هدف فعال شده و بر روی پرونده‌هایی با پسوند مشخص، رونویسی می‌کند.

نسخه‌ی باج‌افزاری KillDisk که ماه گذشته مورد بررسی قرار گرفت، سامانه‌های ویندوزی را هدف قرار داده بود. پس از رمزنگاری پرونده‌ها نیز برای ارائه‌ی کلید رمزگشایی، ۲۵۰ هزار دلار باج درخواست می‌کرد. محققان ESET عنوان کرده‌اند حتی اگر قربانی باجِ درخواستی را پرداخت کند، احتمال بازیابی پرونده‌ها بسیار کم است.
علاوه بر این‌ها، محققان اینک هشدار می‌دهند که این بدافزار سامانه‌های لینوکسی از جمله ایستگاه‌های کاری و کارگزارها را هدف قرار داده است تا خطرات و آسیب‌های ناشی از آن را افزایش دهد. پیغام باج‌‌خواهی مشابه حمله‌ای است که در سامانه‌های ویندوزی نمایش داده می‌شود و مقدار باج نیز یکسان است. مهاجمان برای برگرداندن پرونده‌ها ۲۲۲ بیت‌کوین معادل ۲۵۰ هزار دلار باج درخواست می‌کنند.

در نسخه‌ی لینوکسی این بدافزار، پیغام باج‌خواهی به روشی غیرمعمول نمایش داده می‌شود: در داخل بوت‌لودر GRUB. به عبارت دیگر، بدافزار رکوردهای بوت‌لودر را نیز برای نمایش پیغام، رونویسی می‌کند.
روال رمزنگاری بدین شکل است که بر روی چندین پوشه تا عمق ۱۷ زیرشاخه پیمایش می‌کند. بر روی پرونده‌های پیدا شده نیز در قطعه‌های ۴۰۹۶ بایتی رمزنگاری DES سه‌گانه اعمال می‌شود. محققان می‌گویند در این الگوریتم رمزنگاری، برای هر پرونده از کلید ۶۴ بیتی جداگانه استفاده می‌شود.

موضوع جدی که وجود دارد این است که پس از رمزنگاری پرونده‌ها توسط KillDisk با راه‌اندازی مجدد، رایانه راه‌اندازی نخواهد شد. همچنین کلیدهایی که بر روی ماشن آلوده برای رمزنگاری پرونده‌ها تولید شده بود، برای کارگزار دستور و کنترل ارسال نشده و بر روی دایرکتوری‌های محلی نیز ذخیره نمی‌شود. به‌عبارت دیگر بازیابی پرونده‌های رمزنگاری‌شده غیرممکن خواهد بود. بنابراین پرداخت باج، هدر دادن پول و زمان است.
محققان اشاره کردند در نسخه‌ی لینوکسی این بدافزار، یک آسیب‌پذیری و ضعف وجود دارد و رمزگشایی پرونده‌ها هرچند سخت ولی شدنی است. این روش بازیابی پرونده‌ها در نسخه‌ی ویندوزی عملیاتی نیست.

باوجود اینکه بدافزار KillDisk قبلاً عملیات جاسوسی و خرابکاری سایبری انجام می‌داد، اضافه شدن قابلیت باج‌افزاری به آن تا حدودی غیرمعمول به نظر می‌رسد. محققان امنیتی معتقدند افزودن این قابلیت باعث شده تا بدافزار نسبت به قبل، قدرت تخریب بیشتری داشته باشد.
محققان امنیت ESET به کاربران توصیه کردند حتی اگر سامانه‌های شما به باج‌افزار آلوده شد، به هیچ‌وجه باج را پرداخت نکنید چرا که هیچ تضمینی برای بازگشت پرونده‌های شما وجود ندارد. تنها راه در امان ماندن از باج‌افزارها پیشگیری، آموزش، به‌روزرسانی و اعمال وصله‌ها، استفاده از محصولات امنیتی، تهیه‌ی نسخه‌ی پشتیبان از پرونده‌ها و بررسی قابلیت بازیابی سامانه است.

منبع: asis

کانال اخبار فناوری اطلاعات نماد امن

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.