The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

19.11.2015 23:16  Выявлено второе вредоносное ПО, шифрующее файлы в Linux

Компания "Доктор Веб" опубликовала данные об ещё одом вредоносном ПО Linux.Encoder.2, шифрующем файлы на серверах для вымогательства денег за расшифровку. От первого вредоносного приложения такого рода Linux.Encoder.2 отличается использованием библиотеки OpenSSL вместо PolarSSL и применением иного метода шифрования файлов (вместо AES-CBC-128 применяется AES-OFB-128 со сменой параметров шифра для каждых 128 байт).

Примечательно, что как и первое шифрующее вредоносное ПО для Linux, новый экземпляр также изменяет время модификации файла, т.е. подвержен той же уязвимости (Linux.Encoder.2 был выявлен позднее, но написан на несколько недель раньше Linux.Encoder.1), что даёт возможность восстановить вектор инициализации AES и определить ключ шифрования. Компания "Доктор Веб" сообщила о создании расшифровщика, но пока распространяет его только в составе платной версии своего антивируса. Ожидается, что в ближайшее время компания Bitdefender Lab адаптирует для Linux.Encoder.2 свой общедоступный распаковщик, распространяемый в исходных текстах под лицензией GPLv3.

  1. Главная ссылка к новости (http://news.drweb.ru/show/?i=9...)
  2. OpenNews: Уязвимость в вымогательском ПО для Linux/FreeBSD свела стойкость шифрования на нет
  3. OpenNews: Выявлено вымогательское вредоносное ПО, шифрующее файлы на серверах с Linux и FreeBSD
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: trojan
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, аноним2 (?), 23:19, 19/11/2015 [ответить] [показать ветку] [···]    [к модератору]
  • +5 +/
    День сурка.
     
     
  • 2.53, РОСА (ok), 11:56, 20/11/2015 [^] [ответить]    [к модератору]
  • +14 +/
    «Доктор Вебер» пиарит свои антивирусы.
     
     
  • 3.57, pkdr (ok), 13:10, 20/11/2015 [^] [ответить]    [к модератору]
  • +4 +/
    Судя по качеству их "вирусов", антивирусы тоже должны быть кривоватыми :)
     
     
  • 4.76, i_stas (ok), 02:26, 21/11/2015 [^] [ответить]    [к модератору]
  • +/
    > Судя по качеству их "вирусов", антивирусы тоже должны быть кривоватыми :)

    Только GUI.  Ядро прямое и качественное.

     
  • 1.2, th3m3 (ok), 23:29, 19/11/2015 [ответить] [показать ветку] [···]    [к модератору]
  • +2 +/
    Они забыли сказать, что распространяется оно через дырявые скрипты на php.
     
     
  • 2.25, rshadow (ok), 02:30, 20/11/2015 [^] [ответить]    [к модератору]  
  • +7 +/
    Желательно запущенные от рута, а то за сами скрипты наврят ли заплатят денег.
     
     
  • 3.82, JL2001 (ok), 21:04, 25/11/2015 [^] [ответить]     [к модератору]  
  • +/
    вот и будет перепись тех кто не разделяет данные от остального и заодно ещё не ... весь текст скрыт [показать]
     
  • 2.71, pavlinux (ok), 18:53, 20/11/2015 [^] [ответить]    [к модератору]  
  • +/
    > Они забыли сказать, что распространяется оно через дырявые скрипты на php.

    Давай-ка URL своего сайта, ща проверим на недырявость! В футере подпиши "ЗБОЖ".

     
     
  • 3.75, Нуб (?), 01:19, 21/11/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    Но у меня нет динамики на наружних серверах.
    Только статика!
    Только HTML!
     
  • 1.3, Ононим (?), 23:32, 19/11/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +10 +/
    >> Компания "Доктор Веб" сообщила о создании расшифровщика, но пока распространяет его только в составе платной версии своего антивируса.

    Видимо взяли готовый питон-скрипт от BitDefender и быстренько адаптировали под «вторую» версию своего «вируса»

     
     
  • 2.35, Вареник (?), 06:01, 20/11/2015 [^] [ответить]    [к модератору]  
  • +10 +/
    Еще и на ГитХаб ничего не выкладывают, сраные проприетарщики.
     
  • 1.4, Аноним (-), 23:40, 19/11/2015 [ответить] [показать ветку] [···]     [к модератору]  
  • +4 +/
    Да, наверняка и не существует никакого вируса под названием Linux Encoder1, прос... весь текст скрыт [показать]
     
     
  • 2.6, Ононим (?), 23:44, 19/11/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    но ведь дешифровщик фигурировал в истории исследования этого «вируса»
     
  • 2.31, Какаянахренразница (ok), 05:05, 20/11/2015 [^] [ответить]    [к модератору]  
  • +6 +/
    > Хотя никто и в глаза этот расшифровщик не видели :)

    Так ведь и вирус тоже никто не видел. Это особенность всех вирусов под Линукс. Стэлс-режим, понимаешь ли.

     
  • 1.7, KOT040188 (?), 23:49, 19/11/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    Как страшно жить… ヅ
     
     
  • 2.45, Какаянахренразница (ok), 10:16, 20/11/2015 [^] [ответить]    [к модератору]  
  • +3 +/
    > ヅ

    Зю?

     
  • 1.13, IMHO (?), 00:55, 20/11/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +5 +/
    > был выявлен позднее, но написан на несколько недель раньше

    и откуда такие подробности знает антивирусная компания ?

     
     
  • 2.15, Аноним (-), 00:59, 20/11/2015 [^] [ответить]    [к модератору]  
  • –3 +/
    Ну вот если вы вступили в каку, то логично, что кто-то сделал ее раньше, чем вы вступили.
     
     
  • 3.51, тоже Аноним (ok), 11:40, 20/11/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    Ваша логика устарела.
    В наш век фьючерсов вы можете вступить по полной в то, что еще даже не начинали делать.
     
     
  • 4.54, Аноним (-), 12:02, 20/11/2015 [^] [ответить]    [к модератору]  
  • +/
    То что не начинали делать мы можем купить или продать, но вступить в это не можем.
     
  • 1.14, Аноним (-), 00:59, 20/11/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    А запускать от рута надо?
     
     
  • 2.23, Bookman300 (ok), 01:30, 20/11/2015 [^] [ответить]    [к модератору]  
  • +/
    Еще также компилять, и даже официальную документацию просить у Др.Веб, иначе без полтора-литра не въехать :)))
     
     
  • 3.64, Аноним (-), 16:29, 20/11/2015 [^] [ответить]    [к модератору]  
  • +/
    Не забудьте также попросить патчи для вашего дистрибутива.
     
  • 1.24, Sw00p aka Jerom (?), 01:53, 20/11/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    новый экземпляр также >>изменяет время модификации файла<<, т.е. подвержен той же уязвимости

    меня одного смущает выделенная строчка ?

     
     
  • 2.26, Аноним (-), 03:30, 20/11/2015 [^] [ответить]     [к модератору]  
  • +1 +/
    По времени вычисляют сид генератора рандомных чисел и восстанавливают ключ Авто... весь текст скрыт [показать]
     
     
  • 3.48, Khariton (ok), 10:47, 20/11/2015 [^] [ответить]    [к модератору]  
  • +/
    видать на этом построен процесс дешифровки. был бы рандом откуда они будут знать как расшифровать?)))
     
  • 3.50, Аноним (-), 11:36, 20/11/2015 [^] [ответить]     [к модератору]  
  • –1 +/
    А всякие кошерные трукрипты не изменяют время доступа У многих все смонтировано... весь текст скрыт [показать]
     
     
  • 4.52, тоже Аноним (ok), 11:41, 20/11/2015 [^] [ответить]     [к модератору]  
  • +2 +/
    atime - время последнего доступа mtime - время модификации Файлы при шифрован... весь текст скрыт [показать]
     
  • 4.56, angra (ok), 12:50, 20/11/2015 [^] [ответить]     [к модератору]  
  • +1 +/
    Для того, чтобы что-то зашифровать вирус создает симметричный ключ AES Для с... весь текст скрыт [показать]
     
     
  • 5.68, Sw00p aka Jerom (?), 18:05, 20/11/2015 [^] [ответить]    [к модератору]  
  • +/
    > а значит время модификации этого файла и является seed
    > для rand.

    а в статье написано - также >>изменяет время модификации файла<<

     
  • 3.67, Sw00p aka Jerom (?), 18:03, 20/11/2015 [^] [ответить]    [к модератору]  
  • +/
    думаю там должно было быть - также >>НЕ изменяет время модификации файла<<
     
  • 1.38, Аноним (38), 07:39, 20/11/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А как вирус у себя установить? Я пробовал - не получилось (библиотек не хватает)
     
     
  • 2.42, невидимка (?), 09:29, 20/11/2015 [^] [ответить]    [к модератору]  
  • +2 +/
    не плачь! возьми винду десяточку и всё запустится =)
     
  • 1.44, Абырвалг (?), 10:12, 20/11/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Сотрудник доктора в комментариях. Задавайте свои вопросы.
     
  • 1.49, KT315 (ok), 10:49, 20/11/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +9 +/
    >> Компания "Доктор Веб" сообщила о создании расшифровщика, но пока распространяет его только в составе платной версии своего антивируса.

    Т.е. заплатите для распаковки? Dr.Web совсем не палится :-D

     
  • 1.63, Аноним (-), 16:24, 20/11/2015 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    Таак, если Д-р Веб умеет расшифровать, то кто же, интересно это зашифровал Н... весь текст скрыт [показать]
     
  • 1.69, РОСКОМУЗОР (?), 18:11, 20/11/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А мораль этой новости такова: Срочно всем купить антивирус от ДокторВеб!
     
  • 1.72, Игорь (??), 19:24, 20/11/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Какая компания,такой и антивирус. Думаю,никто не забыл историю с отжатием паблика?

    http://vk.com/wall-774326_22420

     
     
  • 2.73, Аноним (-), 22:17, 20/11/2015 [^] [ответить]    [к модератору]  
  • +/
    походу, они забашляли модеру за публикацию новости, и теперь неугодные каменты и тут трут
     
  • 2.81, freehck (ok), 09:30, 23/11/2015 [^] [ответить]     [к модератору]  
  • +/
    Кстати, вот петиция автора отжатой группы против Dr Web Давайте подпишем, что ... весь текст скрыт [показать]
     
  • 1.74, Аноним (-), 23:18, 20/11/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    "Компания "Доктор Веб" сообщила о создании расшифровщика, но пока распространяет его только в составе платной версии своего антивируса" - твари поганые...
     
  • 1.78, tmplsr (?), 08:58, 21/11/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Хитрый план, однако:
    1. Распиарить факт, что под линь можно писать вири и трояны.
    2. Получить комментарии от тех, кто в теме, как не допускать грубых ошибок в подобном софте.
    3. И получить в итоге некоторое кол-во вирмеров.

    Журнал ][-ер занят в т.ч. и подобным уже долгие годы. Докатились и до опеннета?

     
  • 1.79, arisu (ok), 13:36, 22/11/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > Доктор Веб

    дальше не читал @ комментарий написал

     
  • 1.80, XAnimus (ok), 14:20, 22/11/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    На бсд даже в линуксаторе не запускается( Решил таки поиграться и тут на тебе(
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor