A new variant of KillDisk malware linked to the infamous Black Energy group encrypts Linux machines and demands a huge ransom, but is not capable of decryption.
Dubai, UAE; 11 January 2017: The new variant of KillDisk encrypts Linux machines, making them unbootable with data permanently lost. Despite the fact that the malware’s design doesn’t allow for the recovery of encrypted files, as encryption keys are neither stored nor sent anywhere, the criminals behind KillDisk demand 250 thousand USD in Bitcoins. Fortunately, ESET researchers found a weakness in the encryption employed which makes recovery possible, albeit difficult.
“KillDisk serves as another example of why paying ransom should not be considered an option. When dealing with criminals, there’s no guarantee of getting your data back – in this case, the criminals clearly never intended to deliver on their promises. The only safe way of dealing with ransomware is prevention. Education, keeping systems updated and fully patched, using a reputable security solution, keeping backups and testing the ability to restore – these are the components of true insurance,” says Robert Lipovský, ESET Senior Researcher.
KillDisk is a destructive malware that gained notoriety as a component of the successful attack performed by the BlackEnergy group against the Ukrainian power grid in December 2015. More recently, ESET researchers detected planned cyber-sabotage attacks against a number of different targets within Ukraine’s financial sector. Since then, KillDisk attack campaigns have continued, aimed at several targets in the maritime transport sector.
The attack toolset has evolved and recent variants of KillDisk serve as file-encrypting ransomware. Initially targeting Windows systems, the version targeting Linux machines - not only affects Linux workstations but also servers, amplifying the damage potential.
Figure 1 - Linux KillDisk ransom message. In the Windows variant, the ransom message is exactly the same, including the ransom amount, Bitcoin address, and contact email.
شركة إسيت تكتشف نوعاً جديداً من برنامج تخريب الأنظمة الصناعيّة KillDisk والذي يشفّر ملفات أجهزة لينكس
النوع الجديد للبرنامج يرتبط بفيروس ’بلاك إنرجي‘ سيئ السمعة، وهو يشفّر ملفات الأجهزة العاملة بنظام ’لينكس‘ ويطلب فدية كبيرة ولكنه غير قادر على فك تشفير الملفّات
دبي، الامارات العربية المتحدة؛ 11 يناير 2017: أكدت ’إسيت‘، الشركة العالمية الرائدة في مجال الحماية الرقمية الاستباقية، أن النوع الجديد لبرنامج تخريب الأنظمة الصناعيّة (KillDisk) يمتلك القدرة على تشفير ملفات أجهزة الكومبيوتر العاملة بنظام ’لينكس‘ مما يجعلها غير قادرة على الإقلاع إضافة إلى فقدان البيانات نهائياً. ورغم أن تصميم هذا البرنامج لا يسمح باستعادة الملفات المشفرّة خاصة وأن مفاتيح التشفير لا يتم تخزينها أو إرسالها إلى أي مكان، إلا أن المجرمين يطلبون فدية قيمتها 250 ألف دولار أمريكي بعملة ’بيتكوين‘ الرقميّة. ولحسن الحظ اكتشف باحثو شركة ’إسيت‘ وجود ثغرة في عملية التشفير المستخدمة مما يجعل استعادة البيانات أمراً ممكناً حتى وإن كان صعباً.
وبهذه المناسبة، قال روبرت ليبوڤسكي، باحث أول لدى شركة ’إسيت‘: "إن اكتشاف برنامج تخريب الأنظمة الصناعيّة (KillDisk) يؤكد ضرورة عدم الرضوخ والتفكير في دفع الفدية. فلا ضمانة عند التعامل مع المجرمين لاستعادة البيانات مجدداً؛ وفي هذه الحالة يتضح جلياً أن المجرمين لا يملكون النية إطلاقاً للوفاء بوعودهم. وتعتبر الوقاية الطريقة الآمنة والوحيدة للتعامل مع برمجيات الفدية الخبيثة؛ ولابد أيضاً من التحلي بالوعي، والتركيز على مقوّمات الحماية الأساسية، بما يشمل تحديث الأنظمة والحماية باستخدام حل أمني معروف، فضلاً عن الاحتفاظ بنسخ احتياطية واختبار القدرة على استعادة الملفات دائماً".
ويعتبر برنامج (KillDisk) الخبيث من الأدوات التخريبية التي اكتسبت سمعة سيئة بوصفها عنصراً أساسياً في الهجوم الناجح الذي قامت به مجموعة البرمجيات الخبيثة ’بلاك إنرجي‘، والذي استهدف الشبكة الكهربائية في أوكرانيا خلال ديسمبر 2015. ومؤخراً، رصد الباحثون لدى شركة ’إسيت‘ بعض الهجمات الإلكترونية التخريبية المخطط تنفيذها ضد عدة أهداف في القطاع المالي الأوكراني. وتواصل حملات الاعتداء باستخدام برنامج KillDisk التركيز منذ ذلك الحين على أهداف أخرى في قطاع النقل البحري.
وشهدت أدوات الهجوم تطوراً لافتاً، كما أن الأنواع الجديدة لبرنامج (KillDisk) التخريبي تنتمي لفئة برمجيات الفدية الخبيئة التي تشفر الملفّات. فهي تستهدف بشكل أولي أنظمة التشغيل ’ويندوز‘، مع العلم أن النوع الذي يستهدف أجهزة الكومبيوتر العاملة بنظام ’لينكس‘ يوثر سلباً على محطات العمل المستخدمة لنفس النظام وكذلك المخدّمات، مما يعزز احتمالات وقوع أضرار مدمّرة.
- انتهى-
الشكل 1 – نص رسالة الفدية من KillDisk على أجهزة الكومبيوتر العاملة بنظام لينكس. وهي نفس الرسالة التي تظهر في الأجهزة العاملة بنظام ويندوز إلا أنها تتضمن قيمة وعنوان بيتكوين والبريد الإلكتروني للتواصل
