Шифровальщик Linux RansomEXX может повредить файлы жертв

23
Оператор американской телекомпании Sinclair подвергся атаке с использованием программ-вымогателей

Фирма по кибербезопасности Profero обнаружила, что банда RansomExx неправильно блокирует файлы Linux во время шифрования, что приводит к потенциально поврежденным файлам.

В новом отчете Profero старший специалист по реагированию на инциденты Брентон Моррис говорит, что дешифратор RansomEXX не работал с различными файлами, зашифрованными шифровальщиком Linux Vmware ESXI злоумышленника для одной жертвы, заплатившей выкуп.

После реинжиниринга шифровальщика RansomExx Linux, Profero обнаружил, что проблемное дешифрование было вызвано тем, что файлы Linux не были должным образом заблокированы, пока они были зашифрованы.

Без блокировки файла, если программа-вымогатель попытается зашифровать файл Linux одновременно с записью в него другого процесса, зашифрованный файл будет содержать как зашифрованные, так и незашифрованные данные, добавленные после него, как показано ниже.

«Некоторые разновидности программ-вымогателей Linux будут пытаться получить блокировку файлов с помощью fcntl, в то время как другие часто не будут пытаться заблокировать файлы для записи, а вместо этого либо сознательно решают пойти на риск повреждения файлов, либо делают это неосознанно из-за отсутствия программирования для Linux. опыт «, сказал Моррис BleepingComputer.

«Версия RansomEXX для Linux вообще не пыталась заблокировать файл».

Когда RansomExx шифрует файл, он добавляет зашифрованный RSA ключ дешифрования в конец каждого зашифрованного файла.

Если жертва платит выкуп, злоумышленник предоставляет дешифратор, который может расшифровать зашифрованный ключ дешифрования каждого файла, а затем использовать его для расшифровки содержимого файла.

Однако, поскольку эти проблемные зашифрованные файлы имели незашифрованные данные, добавленные в конец файла, дешифратор не мог правильно прочитать зашифрованный ключ и не смог бы расшифровать файл.

Выпущен исправленный дешифратор

Чтобы помочь своим клиентам и большему сообществу кибербезопасности, Profero выпустила дешифратор RansomEXX с открытым исходным кодом, который может расшифровывать файлы, зашифрованные с помощью этой проблемы блокировки файлов.

Жертвам по-прежнему необходимо получить ключ дешифратора от злоумышленника, но теперь они могут использовать дешифратор, созданный фирмой по кибербезопасности, вместо того, чтобы тратить время на проверку ключа, предоставленного злоумышленниками.

«Так как злоумышленники предоставляют жертвам, которые платят деньги, инструмент дешифрования, который они должны запустить для дешифрования своих файлов, существует риск того, что инструмент дешифрования может быть вредоносным. Это требует, чтобы затронутые жертвы перепроектировали предоставленный инструмент дешифрования, чтобы убедиться в отсутствии скрытой полезной нагрузки или злонамеренных действий. функции, временные затраты, которые могут быть проблематичными для некоторых организаций во время инцидента с вымогателем », — поясняет сообщение в блоге Profero.

Вы можете найти полные инструкции и использование командной строки для использования дешифратора в сообщении Profero и на странице дешифратора на GitHub.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here