The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

19.11.2015 23:16  Выявлено второе вредоносное ПО, шифрующее файлы в Linux

Компания "Доктор Веб" опубликовала данные об ещё одом вредоносном ПО Linux.Encoder.2, шифрующем файлы на серверах для вымогательства денег за расшифровку. От первого вредоносного приложения такого рода Linux.Encoder.2 отличается использованием библиотеки OpenSSL вместо PolarSSL и применением иного метода шифрования файлов (вместо AES-CBC-128 применяется AES-OFB-128 со сменой параметров шифра для каждых 128 байт).

Примечательно, что как и первое шифрующее вредоносное ПО для Linux, новый экземпляр также изменяет время модификации файла, т.е. подвержен той же уязвимости (Linux.Encoder.2 был выявлен позднее, но написан на несколько недель раньше Linux.Encoder.1), что даёт возможность восстановить вектор инициализации AES и определить ключ шифрования. Компания "Доктор Веб" сообщила о создании расшифровщика, но пока распространяет его только в составе платной версии своего антивируса. Ожидается, что в ближайшее время компания Bitdefender Lab адаптирует для Linux.Encoder.2 свой общедоступный распаковщик, распространяемый в исходных текстах под лицензией GPLv3.

  1. Главная ссылка к новости (http://news.drweb.ru/show/?i=9...)
  2. OpenNews: Уязвимость в вымогательском ПО для Linux/FreeBSD свела стойкость шифрования на нет
  3. OpenNews: Выявлено вымогательское вредоносное ПО, шифрующее файлы на серверах с Linux и FreeBSD
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: trojan
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, аноним2, 23:19, 19/11/2015 [ответить] [смотреть все]    [к модератору]
  • +5 +/
    День сурка.
     
     
  • 2.53, РОСА, 11:56, 20/11/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • +14 +/
    «Доктор Вебер» пиарит свои антивирусы.
     
     
  • 3.57, pkdr, 13:10, 20/11/2015 [^] [ответить] [смотреть все]    [к модератору]
  • +4 +/
    Судя по качеству их "вирусов", антивирусы тоже должны быть кривоватыми :)
     
     
  • 4.76, i_stas, 02:26, 21/11/2015 [^] [ответить] [смотреть все]     [к модератору]
  • +/
    Только GUI Ядро прямое и качественное ... весь текст скрыт [показать]
     
  • 1.2, th3m3, 23:29, 19/11/2015 [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    Они забыли сказать, что распространяется оно через дырявые скрипты на php.
     
     
  • 2.25, rshadow, 02:30, 20/11/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +7 +/
    Желательно запущенные от рута, а то за сами скрипты наврят ли заплатят денег.
     
     
  • 3.82, JL2001, 21:04, 25/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    вот и будет перепись тех кто не разделяет данные от остального и заодно ещё не ... весь текст скрыт [показать]
     
  • 2.71, pavlinux, 18:53, 20/11/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Давай-ка URL своего сайта, ща проверим на недырявость В футере подпиши ЗБОЖ ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.75, Нуб, 01:19, 21/11/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Но у меня нет динамики на наружних серверах.
    Только статика!
    Только HTML!
     
  • 1.3, Ононим, 23:32, 19/11/2015 [ответить] [смотреть все]    [к модератору]  
  • +10 +/
    >> Компания "Доктор Веб" сообщила о создании расшифровщика, но пока распространяет его только в составе платной версии своего антивируса.

    Видимо взяли готовый питон-скрипт от BitDefender и быстренько адаптировали под «вторую» версию своего «вируса»

     
     
  • 2.35, Вареник, 06:01, 20/11/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +10 +/
    Еще и на ГитХаб ничего не выкладывают, сраные проприетарщики.
     
  • 1.4, Аноним, 23:40, 19/11/2015 [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    Да, наверняка и не существует никакого вируса под названием Linux Encoder1, прос... весь текст скрыт [показать]
     
     
  • 2.6, Ононим, 23:44, 19/11/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    но ведь дешифровщик фигурировал в истории исследования этого «вируса»
     
  • 2.31, Какаянахренразница, 05:05, 20/11/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +6 +/
    > Хотя никто и в глаза этот расшифровщик не видели :)

    Так ведь и вирус тоже никто не видел. Это особенность всех вирусов под Линукс. Стэлс-режим, понимаешь ли.

     
  • 1.7, KOT040188, 23:49, 19/11/2015 [ответить] [смотреть все]    [к модератору]  
  • +3 +/
    Как страшно жить… ヅ
     
     
  • 2.45, Какаянахренразница, 10:16, 20/11/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +3 +/
    > ヅ

    Зю?

     
  • 1.13, IMHO, 00:55, 20/11/2015 [ответить] [смотреть все]    [к модератору]  
  • +5 +/
    > был выявлен позднее, но написан на несколько недель раньше

    и откуда такие подробности знает антивирусная компания ?

     
     
  • 2.15, Аноним, 00:59, 20/11/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –3 +/
    Ну вот если вы вступили в каку, то логично, что кто-то сделал ее раньше, чем вы ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.51, тоже Аноним, 11:40, 20/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Ваша логика устарела В наш век фьючерсов вы можете вступить по полной в то, чт... весь текст скрыт [показать]
     
     
  • 4.54, Аноним, 12:02, 20/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    То что не начинали делать мы можем купить или продать, но вступить в это не може... весь текст скрыт [показать]
     
  • 1.14, Аноним, 00:59, 20/11/2015 [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    А запускать от рута надо?
     
     
  • 2.23, Bookman300, 01:30, 20/11/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Еще также компилять, и даже официальную документацию просить у Др Веб, иначе без... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.64, Аноним, 16:29, 20/11/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Не забудьте также попросить патчи для вашего дистрибутива.
     
  • 1.24, Sw00p aka Jerom, 01:53, 20/11/2015 [ответить] [смотреть все]    [к модератору]  
  • +/
    новый экземпляр также >>изменяет время модификации файла<<, т.е. подвержен той же уязвимости

    меня одного смущает выделенная строчка ?

     
     
  • 2.26, Аноним, 03:30, 20/11/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    По времени вычисляют сид генератора рандомных чисел и восстанавливают ключ Авто... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.48, Khariton, 10:47, 20/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    видать на этом построен процесс дешифровки был бы рандом откуда они будут знать... весь текст скрыт [показать]
     
  • 3.50, Аноним, 11:36, 20/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    А всякие кошерные трукрипты не изменяют время доступа У многих все смонтировано... весь текст скрыт [показать]
     
     
  • 4.52, тоже Аноним, 11:41, 20/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    atime - время последнего доступа mtime - время модификации Файлы при шифрован... весь текст скрыт [показать]
     
  • 4.56, angra, 12:50, 20/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Для того, чтобы что-то зашифровать вирус создает симметричный ключ AES Для с... весь текст скрыт [показать]
     
     
  • 5.68, Sw00p aka Jerom, 18:05, 20/11/2015 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    а в статье написано - также изменяет время модификации файла ... весь текст скрыт [показать]
     
  • 3.67, Sw00p aka Jerom, 18:03, 20/11/2015 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    думаю там должно было быть - также >>НЕ изменяет время модификации файла<<
     
  • 1.38, Аноним, 07:39, 20/11/2015 [ответить] [смотреть все]     [к модератору]  
  • +/
    А как вирус у себя установить Я пробовал - не получилось библиотек не хватает ... весь текст скрыт [показать]
     
     
  • 2.42, невидимка, 09:29, 20/11/2015 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +2 +/
    не плачь! возьми винду десяточку и всё запустится =)
     
  • 1.44, Абырвалг, 10:12, 20/11/2015 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Сотрудник доктора в комментариях. Задавайте свои вопросы.
     
  • 1.49, KT315, 10:49, 20/11/2015 [ответить] [смотреть все]    [к модератору]  
  • +9 +/
    >> Компания "Доктор Веб" сообщила о создании расшифровщика, но пока распространяет его только в составе платной версии своего антивируса.

    Т.е. заплатите для распаковки? Dr.Web совсем не палится :-D

     
  • 1.63, Аноним, 16:24, 20/11/2015 [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Таак, если Д-р Веб умеет расшифровать, то кто же, интересно это зашифровал Н... весь текст скрыт [показать]
     
  • 1.69, РОСКОМУЗОР, 18:11, 20/11/2015 [ответить] [смотреть все]    [к модератору]  
  • +/
    А мораль этой новости такова: Срочно всем купить антивирус от ДокторВеб!
     
  • 1.72, Игорь, 19:24, 20/11/2015 [ответить] [смотреть все]    [к модератору]  
  • +/
    Какая компания,такой и антивирус. Думаю,никто не забыл историю с отжатием паблика?

    http://vk.com/wall-774326_22420

     
     
  • 2.73, Аноним, 22:17, 20/11/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    походу, они забашляли модеру за публикацию новости, и теперь неугодные каменты и... весь текст скрыт [показать] [показать ветку]
     
  • 2.81, freehck, 09:30, 23/11/2015 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Кстати, вот петиция автора отжатой группы против Dr Web Давайте подпишем, что ... весь текст скрыт [показать] [показать ветку]
     
  • 1.74, Аноним, 23:18, 20/11/2015 [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Компания Доктор Веб сообщила о создании расшифровщика, но пока распространяет... весь текст скрыт [показать]
     
  • 1.78, tmplsr, 08:58, 21/11/2015 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Хитрый план, однако:
    1. Распиарить факт, что под линь можно писать вири и трояны.
    2. Получить комментарии от тех, кто в теме, как не допускать грубых ошибок в подобном софте.
    3. И получить в итоге некоторое кол-во вирмеров.

    Журнал ][-ер занят в т.ч. и подобным уже долгие годы. Докатились и до опеннета?

     
  • 1.79, arisu, 13:36, 22/11/2015 [ответить] [смотреть все]    [к модератору]  
  • +/
    > Доктор Веб

    дальше не читал @ комментарий написал

     
  • 1.80, XAnimus, 14:20, 22/11/2015 [ответить] [смотреть все]    [к модератору]  
  • +/
    На бсд даже в линуксаторе не запускается( Решил таки поиграться и тут на тебе(
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor