The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

19.11.2015 23:16  Выявлено второе вредоносное ПО, шифрующее файлы в Linux

Компания "Доктор Веб" опубликовала данные об ещё одом вредоносном ПО Linux.Encoder.2, шифрующем файлы на серверах для вымогательства денег за расшифровку. От первого вредоносного приложения такого рода Linux.Encoder.2 отличается использованием библиотеки OpenSSL вместо PolarSSL и применением иного метода шифрования файлов (вместо AES-CBC-128 применяется AES-OFB-128 со сменой параметров шифра для каждых 128 байт).

Примечательно, что как и первое шифрующее вредоносное ПО для Linux, новый экземпляр также изменяет время модификации файла, т.е. подвержен той же уязвимости (Linux.Encoder.2 был выявлен позднее, но написан на несколько недель раньше Linux.Encoder.1), что даёт возможность восстановить вектор инициализации AES и определить ключ шифрования. Компания "Доктор Веб" сообщила о создании расшифровщика, но пока распространяет его только в составе платной версии своего антивируса. Ожидается, что в ближайшее время компания Bitdefender Lab адаптирует для Linux.Encoder.2 свой общедоступный распаковщик, распространяемый в исходных текстах под лицензией GPLv3.

  1. Главная ссылка к новости (http://news.drweb.ru/show/?i=9...)
  2. OpenNews: Уязвимость в вымогательском ПО для Linux/FreeBSD свела стойкость шифрования на нет
  3. OpenNews: Выявлено вымогательское вредоносное ПО, шифрующее файлы на серверах с Linux и FreeBSD
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: trojan
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, аноним2, 23:19, 19/11/2015 [ответить] [смотреть все]
  • +5 +/
    День сурка.
     
     
  • 2.53, РОСА, 11:56, 20/11/2015 [^] [ответить] [смотреть все] [показать ветку]
  • +14 +/
    «Доктор Вебер» пиарит свои антивирусы.
     
     
  • 3.57, pkdr, 13:10, 20/11/2015 [^] [ответить] [смотреть все]
  • +4 +/
    Судя по качеству их "вирусов", антивирусы тоже должны быть кривоватыми :)
     
     
  • 4.76, i_stas, 02:26, 21/11/2015 [^] [ответить] [смотреть все]
  • +/
    Только GUI Ядро прямое и качественное ... весь текст скрыт [показать]
     
  • 1.2, th3m3, 23:29, 19/11/2015 [ответить] [смотреть все]  
  • +2 +/
    Они забыли сказать, что распространяется оно через дырявые скрипты на php.
     
     
  • 2.25, rshadow, 02:30, 20/11/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +7 +/
    Желательно запущенные от рута, а то за сами скрипты наврят ли заплатят денег.
     
     
  • 3.82, JL2001, 21:04, 25/11/2015 [^] [ответить] [смотреть все]  
  • +/
    вот и будет перепись тех кто не разделяет данные от остального и заодно ещё не ... весь текст скрыт [показать]
     
  • 2.71, pavlinux, 18:53, 20/11/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Давай-ка URL своего сайта, ща проверим на недырявость В футере подпиши ЗБОЖ ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.75, Нуб, 01:19, 21/11/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Но у меня нет динамики на наружних серверах.
    Только статика!
    Только HTML!
     
  • 1.3, Ононим, 23:32, 19/11/2015 [ответить] [смотреть все]  
  • +10 +/
    >> Компания "Доктор Веб" сообщила о создании расшифровщика, но пока распространяет его только в составе платной версии своего антивируса.

    Видимо взяли готовый питон-скрипт от BitDefender и быстренько адаптировали под «вторую» версию своего «вируса»

     
     
  • 2.35, Вареник, 06:01, 20/11/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +10 +/
    Еще и на ГитХаб ничего не выкладывают, сраные проприетарщики.
     
  • 1.4, Аноним, 23:40, 19/11/2015 [ответить] [смотреть все]  
  • +4 +/
    Да, наверняка и не существует никакого вируса под названием Linux Encoder1, прос... весь текст скрыт [показать]
     
     
  • 2.6, Ононим, 23:44, 19/11/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    но ведь дешифровщик фигурировал в истории исследования этого «вируса»
     
  • 2.31, Какаянахренразница, 05:05, 20/11/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +6 +/
    > Хотя никто и в глаза этот расшифровщик не видели :)

    Так ведь и вирус тоже никто не видел. Это особенность всех вирусов под Линукс. Стэлс-режим, понимаешь ли.

     
  • 1.7, KOT040188, 23:49, 19/11/2015 [ответить] [смотреть все]  
  • +3 +/
    Как страшно жить… ヅ
     
     
  • 2.45, Какаянахренразница, 10:16, 20/11/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    > ヅ

    Зю?

     
  • 1.13, IMHO, 00:55, 20/11/2015 [ответить] [смотреть все]  
  • +5 +/
    > был выявлен позднее, но написан на несколько недель раньше

    и откуда такие подробности знает антивирусная компания ?

     
     
  • 2.15, Аноним, 00:59, 20/11/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    Ну вот если вы вступили в каку, то логично, что кто-то сделал ее раньше, чем вы ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.51, тоже Аноним, 11:40, 20/11/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Ваша логика устарела В наш век фьючерсов вы можете вступить по полной в то, чт... весь текст скрыт [показать]
     
     
  • 4.54, Аноним, 12:02, 20/11/2015 [^] [ответить] [смотреть все]  
  • +/
    То что не начинали делать мы можем купить или продать, но вступить в это не може... весь текст скрыт [показать]
     
  • 1.14, Аноним, 00:59, 20/11/2015 [ответить] [смотреть все]  
  • +2 +/
    А запускать от рута надо?
     
     
  • 2.23, Bookman300, 01:30, 20/11/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Еще также компилять, и даже официальную документацию просить у Др Веб, иначе без... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.64, Аноним, 16:29, 20/11/2015 [^] [ответить] [смотреть все]  
  • +/
    Не забудьте также попросить патчи для вашего дистрибутива.
     
  • 1.24, Sw00p aka Jerom, 01:53, 20/11/2015 [ответить] [смотреть все]  
  • +/
    новый экземпляр также >>изменяет время модификации файла<<, т.е. подвержен той же уязвимости

    меня одного смущает выделенная строчка ?

     
     
  • 2.26, Аноним, 03:30, 20/11/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    По времени вычисляют сид генератора рандомных чисел и восстанавливают ключ Авто... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.48, Khariton, 10:47, 20/11/2015 [^] [ответить] [смотреть все]  
  • +/
    видать на этом построен процесс дешифровки был бы рандом откуда они будут знать... весь текст скрыт [показать]
     
  • 3.50, Аноним, 11:36, 20/11/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    А всякие кошерные трукрипты не изменяют время доступа У многих все смонтировано... весь текст скрыт [показать]
     
     
  • 4.52, тоже Аноним, 11:41, 20/11/2015 [^] [ответить] [смотреть все]  
  • +2 +/
    atime - время последнего доступа mtime - время модификации Файлы при шифрован... весь текст скрыт [показать]
     
  • 4.56, angra, 12:50, 20/11/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Для того, чтобы что-то зашифровать вирус создает симметричный ключ AES Для с... весь текст скрыт [показать]
     
     
  • 5.68, Sw00p aka Jerom, 18:05, 20/11/2015 [^] [ответить] [смотреть все]  
  • +/
    а в статье написано - также изменяет время модификации файла ... весь текст скрыт [показать]
     
  • 3.67, Sw00p aka Jerom, 18:03, 20/11/2015 [^] [ответить] [смотреть все]  
  • +/
    думаю там должно было быть - также >>НЕ изменяет время модификации файла<<
     
  • 1.38, Аноним, 07:39, 20/11/2015 [ответить] [смотреть все]  
  • +/
    А как вирус у себя установить Я пробовал - не получилось библиотек не хватает ... весь текст скрыт [показать]
     
     
  • 2.42, невидимка, 09:29, 20/11/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    не плачь! возьми винду десяточку и всё запустится =)
     
  • 1.44, Абырвалг, 10:12, 20/11/2015 [ответить] [смотреть все]  
  • +1 +/
    Сотрудник доктора в комментариях. Задавайте свои вопросы.
     
  • 1.49, KT315, 10:49, 20/11/2015 [ответить] [смотреть все]  
  • +9 +/
    >> Компания "Доктор Веб" сообщила о создании расшифровщика, но пока распространяет его только в составе платной версии своего антивируса.

    Т.е. заплатите для распаковки? Dr.Web совсем не палится :-D

     
  • 1.63, Аноним, 16:24, 20/11/2015 [ответить] [смотреть все]  
  • –1 +/
    Таак, если Д-р Веб умеет расшифровать, то кто же, интересно это зашифровал Н... весь текст скрыт [показать]
     
  • 1.69, РОСКОМУЗОР, 18:11, 20/11/2015 [ответить] [смотреть все]  
  • +/
    А мораль этой новости такова: Срочно всем купить антивирус от ДокторВеб!
     
  • 1.72, Игорь, 19:24, 20/11/2015 [ответить] [смотреть все]  
  • +/
    Какая компания,такой и антивирус. Думаю,никто не забыл историю с отжатием паблика?

    http://vk.com/wall-774326_22420

     
     
  • 2.73, Аноним, 22:17, 20/11/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    походу, они забашляли модеру за публикацию новости, и теперь неугодные каменты и... весь текст скрыт [показать] [показать ветку]
     
  • 2.81, freehck, 09:30, 23/11/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Кстати, вот петиция автора отжатой группы против Dr Web Давайте подпишем, что ... весь текст скрыт [показать] [показать ветку]
     
  • 1.74, Аноним, 23:18, 20/11/2015 [ответить] [смотреть все]  
  • +1 +/
    Компания Доктор Веб сообщила о создании расшифровщика, но пока распространяет... весь текст скрыт [показать]
     
  • 1.78, tmplsr, 08:58, 21/11/2015 [ответить] [смотреть все]  
  • +1 +/
    Хитрый план, однако:
    1. Распиарить факт, что под линь можно писать вири и трояны.
    2. Получить комментарии от тех, кто в теме, как не допускать грубых ошибок в подобном софте.
    3. И получить в итоге некоторое кол-во вирмеров.

    Журнал ][-ер занят в т.ч. и подобным уже долгие годы. Докатились и до опеннета?

     
  • 1.79, arisu, 13:36, 22/11/2015 [ответить] [смотреть все]  
  • +/
    > Доктор Веб

    дальше не читал @ комментарий написал

     
  • 1.80, XAnimus, 14:20, 22/11/2015 [ответить] [смотреть все]  
  • +/
    На бсд даже в линуксаторе не запускается( Решил таки поиграться и тут на тебе(
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor