- Регистрация
- 26.10.16
- Сообщения
- 2,237
- Онлайн
- 37д 1ч 29м
- Сделки
- 251
- Нарушения
- 0 / 0
Данная версия Clop для Linux была обнаружена в декабре 2022 года Антонисом Терефосом, исследователем из SentinelLabs. Вредонос был выявлен после того, как группировка использовала его вместе с аналогичным вариантом для Windows при атаке на один из университетов Колумбии.
Несмотря на то, что версии для Linux и Windows очень похожи, поскольку обе используют один и тот же метод шифрования и почти идентичную логику процесса, всё же есть некоторые различия, в основном обусловленные разной структурой операционных систем.
Вредоносная программа Clop для Linux пока что находится на ранней стадии разработки, поскольку в ней всё ещё отсутствуют надлежащие механизмы запутывания и уклонения от систем безопасности. Также специалисты SentinelLabs обнаружили в ней забавный недостаток, который позволяет жертвам восстановить все свои файлы, не платя мошенникам никаких денег.
Всё дело в том, что текущая версия для Linux использует жёстко запрограммированный RC4 мастер-ключ для генерации ключей шифрования файлов. Более того, этот же мастер-ключ затем «шифрует сам себя» и сохраняется в локальный файл на диске.
Эта слабая схема абсолютно не защищает ключи от свободного извлечения и последующей расшифровки файлов, что и сделали в SentinelLabs. Расшифровывающий скрипт представители компании выложили на GitHub.
В дополнение к отсутствию защиты ключа, SentinelLabs также обнаружила, что при записи зашифрованного ключа в файл, вредоносная программа записывает и некоторые дополнительные данные. Например сведения о файле, такие как его размер и время шифрования. Эти данные также должны быть скрыты, поскольку могут быть использованы специалистами для расшифровки файлов.
Программа-вымогатель Clop для Linux вряд ли станет широко распространенной угрозой в её нынешнем виде. Выпуск дешифратора, вероятно, подтолкнет авторов Clop к доработке программы и выпуску улучшенной версий с надлежащей схемой шифрования.
SentinelLabs сообщили, что уже поделились своим дешифратором с правоохранительными органами, чтобы они смогли помочь жертвам атаки восстановить свои файлы.
