KillDisk, eine destruktive Malware
Wie KillDisk arbeitet wurde auf welivesecurity.com ausführlich dargelegt. Die sogenannte destruktive Malware wurde nach Angriffen der er BlackEnergy-Gruppe gegen das ukrainische Stromnetz im Dezember 2015 und eine der wichtigsten Nachrichtenagenturen des Landes im November 2015 bekannt. Auch der Finanzbranche wurde KillDisk bei Angriffen Anfang Dezember in der Ukraine eingesetzt.
Diese Angriffe sollen sich laut welivesecurity.com den ganzen Dezember über fortgesetzt haben. Unter den Zielen befand sich auch der ukrainische Seetransportsektor. Die Angreifer benutzen fortan Meterpreter Backdoors und die C&C-Kommunikation durchlief nicht länger die Telegram API.
Die Lösegeldforderung
Die Lösegeldforderung beginnt ironisch mit einem „Wir entschuldigen uns…“ und verlangt vom Opfer ein außergewöhnlich hohes Lösegeld von 222 Bitcoin. Umgerechnet sind das ca. 250.000 US$ zum Zeitpunkt der Erstellung dieses Textes.
Neu ist die Kompromittierung von Linux-Maschinen
Laut der Sicherheitsforscher von ESET ist die neue KillDisk Ransomware nicht nur in der Lage Windows –Systeme anzugreifen, sie zielt auch auf Linux-Maschinen ab, eine nicht alltägliche Verhaltensweise, wie es dazu heißt. Angegriffen werden nicht nur Linux-Workstations, sondern auch Server, die das Schadenspotential noch verstärken können.
Die Windows Malware-Varianten, die von ESET als Win32 / KillDisk.NBK und Win32 / KillDisk.NBL erkannt werden, verschlüsseln Dateien mit AES (256-Bit-Verschlüsselungsschlüssel, der mit CryptGenRandom erzeugt wurde). Der symmetrische AES-Schlüssel wird dann 1024-Bit-RSA verschlüsselt. Um eine doppelte Verschlüsselung zu verhindern, fügt die Malware am Ende jeder verschlüsselten Datei die folgende Markierung hinzu: DoN0t0uch7h!$CrYpteDfilE.
Im Rahmen der technischen Analyse der Linux/KillDisk.A wird deutlich, dass zwar die Höhe der Lösegeldforderung identisch ist. Dennoch unterscheidet sich die KillDisk Ransomware in ihrer Umsetzung je nach Betriebssystem. Bei Linux wird die Verschlüsselungsmeldung direkt im GRUB-Bootloader ausgegeben. Wird die Malware ausgeführt, werden die Bootloader-Einträge überschrieben, um den Löschungstext anzuzeigen.
ESET-Forscher warnen
- Nach einem Neustart ist das betroffene System nicht startfähig.
- Wir möchten explizit darauf hinweisen, dass die Zahlung des Lösegelds nichts bringt!
- Die auf dem betroffenen Host erzeugten Verschlüsselungsschlüssel werden weder lokal gespeichert, noch an einen C & C-Server gesendet.
- Die Cyber-Kriminellen sind also gar nicht in der Lage, den Opfern einen Entschlüsselungsschlüssel zukommen zu lassen. Wir warnen davor, Zeit und Geld zu verschwenden!
- Darüber hinaus haben ESET-Forscher festgestellt, dass eine Schwäche in der Verschlüsselung in der Linux-Version der KillDisk Ransomware eine Wiederherstellung ermöglicht. Das gestaltet sich bisweilen allerdings sehr kompliziert. (Die Wiederherstellung gilt ausdrücklich nicht für Windows!)
- Wer Opfer von Ransomware ist, sollte auf keinem Fall das geforderte Lösegeld bezahlen. Es gibt keine Garantie dafür, wieder an seine Daten zu gelangen. Der sicherste Weg Ransomware zu umschiffen ist Aufklärung, Software und Betriebssysteme auf dem neusten Stand zu halten, zuverlässige Internet Security Lösungen und Backups.
Weiterführende Links:
welivesecurity.com: Stromnetz in der Ukraine durch Hacker lahmgelegt
welivesecurity.com: KillDisk torpediert Linux: Lösegeld bringt nichts
