Эксперты ESET обнаружили новую версию вредоносной программы KillDisk, предназначенную для атак на Linux-устройства и приобретшую функции шифратора.
В 2015 и 2016 годах KillDisk использовался в атаках на украинские энергетические и финансовые компании. В декабре 2016 года специалисты ESET изучали версию KillDisk, которая удаляла важные системные файлы, в результате чего зараженный компьютер переставал загружаться. Взамен удаленных программа создавала новые файлы, содержащие строку mrR0b07 или fS0cie7y — отсылки к сериалу «Мистер Робот». Последние версии KillDisk научились шифровать файлы на зараженном устройстве и требовать огромные суммы (222 биткоина, больше 200 тыс. долларов) за восстановление данных
Новейший KillDisk атакует как Windows, так и Linux-системы. В числе потенциальных жертв не только рабочие станции, но и серверы. Требования выкупа в Windows и Linux-версиях идентичны. Windows-версия деструктивного компонента использует алгоритм шифрования AES с 256-битным ключом (свой ключ для каждого файла). Ключ для расшифровки хранится на сервере злоумышленников. KillDisk для Linux шифрует файлы при помощи алгоритма Triple-DES. Программа не хранит ключ шифрования на зараженном компьютере и не отправляет его на удаленный сервер, поэтому даже уплата выкупа не гарантирует восстановления данных. Зато, по оценке ESET, в работе Linux-версии присутствует уязвимость, благодаря которой восстановление возможно.