• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости Жертвы вымогателя Clop для Linux на протяжении нескольких месяцев бесплатно расшифровывали свои данные

Пригоршня

Штурман
Бродяга
Регистрация
26.10.16
Сообщения
2,233
Онлайн
38д 4ч 33м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

Банда вымогателей под названием Clop уже несколько месяцев использует в своих атаках одноимённый шифровальщик, нацеленный на серверы Linux. Однако ошибка в схеме шифрования позволила жертвам в течение нескольких месяцев незаметно восстанавливать свои файлы, причём абсолютно бесплатно.

Данная версия Clop для Linux была обнаружена в декабре 2022 года Антонисом Терефосом, исследователем из SentinelLabs. Вредонос был выявлен после того, как группировка использовала его вместе с аналогичным вариантом для Windows при атаке на один из университетов Колумбии.

Несмотря на то, что версии для Linux и Windows очень похожи, поскольку обе используют один и тот же метод шифрования и почти идентичную логику процесса, всё же есть некоторые различия, в основном обусловленные разной структурой операционных систем.

Вредоносная программа Clop для Linux пока что находится на ранней стадии разработки, поскольку в ней всё ещё отсутствуют надлежащие механизмы запутывания и уклонения от систем безопасности. Также специалисты SentinelLabs обнаружили в ней забавный недостаток, который позволяет жертвам восстановить все свои файлы, не платя мошенникам никаких денег.

Всё дело в том, что текущая версия для Linux использует жёстко запрограммированный RC4 мастер-ключ для генерации ключей шифрования файлов. Более того, этот же мастер-ключ затем «шифрует сам себя» и сохраняется в локальный файл на диске.

Эта слабая схема абсолютно не защищает ключи от свободного извлечения и последующей расшифровки файлов, что и сделали в SentinelLabs. Расшифровывающий скрипт представители компании выложили на GitHub.

В дополнение к отсутствию защиты ключа, SentinelLabs также обнаружила, что при записи зашифрованного ключа в файл, вредоносная программа записывает и некоторые дополнительные данные. Например сведения о файле, такие как его размер и время шифрования. Эти данные также должны быть скрыты, поскольку могут быть использованы специалистами для расшифровки файлов.

Программа-вымогатель Clop для Linux вряд ли станет широко распространенной угрозой в её нынешнем виде. Выпуск дешифратора, вероятно, подтолкнет авторов Clop к доработке программы и выпуску улучшенной версий с надлежащей схемой шифрования.

SentinelLabs сообщили, что уже поделились своим дешифратором с правоохранительными органами, чтобы они смогли помочь жертвам атаки восстановить свои файлы.
 
Сверху