Жертвы нового вымогателя Clop под Linux могут легко вернуть свои данные
Жертвы нового вымогателя Clop под Linux могут легко вернуть свои данные. Фото: СС0
Версия программы-вымогателя для Linux была впервые обнаружена в декабре 2022 года исследователем SentinelLabs Антонисом Терефосом. Его анализ показал, что вариант для Linux почти идентичен варианту для Windows, но с несколькими небольшими (хотя и важными) отличиями.
С их помощью пользователи Linux смогли незаметно расшифровать все затронутые файлы и восстановить свои конечные точки — без необходимости платить преступникам.
Среди этих отличий тот факт, что версия для Linux «не шифровала ключи RC4, используемые для шифрования файлов, с помощью асимметричного алгоритма на основе RSA, используемого в варианте для Windows.
В отличие от версии для Windows, в версии для Linux используется жестко запрограммированный «мастер-ключ» RC4, который генерирует ключи шифрования, а затем использует тот же ключ для локального шифрования и хранения файлов. Когда SentinelLabs выяснили это, они использовали уязвимость, чтобы бесплатно получить ключи и отменить шифрование. Сейчас команда создала скрипт Python для автоматизации процесса, который можно найти на GitHub.
Но это не единственный серьезный просчет разработчиков программы-вымогателя. Судя по всему, вредонос также записывает в зашифрованный файл дополнительные данные, такие как его размер и время шифрования. Обычно этот тип данных запутан, поскольку он может помочь экспертам-криминалистам идентифицировать важные документы. В данном случае информация вообще не была скрыта.
Все это побудило исследователей сделать вывод, что программа-вымогатель Clop, по крайней мере, в ее нынешнем виде, вряд ли станет серьезной угрозой.
Из сообщения исследователей безопасности из SentinelLabs
«Мы заранее поделились своими выводами с соответствующими партнерами из правоохранительных органов и разведки и продолжим сотрудничество с соответствующими организациями, чтобы повлиять на экономику пространства программ-вымогателей в пользу защитников».
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было