У программы-вымогателя Clop была довольно удобная уязвимость, которую могли использовать пользователи Linux.
9 февраля 2023 г.Относительно малоизвестный вариант программы-вымогателя под названием Clop может некоторое время оставаться таким. дольше, после того как была обнаружена версия для Linux с довольно неприятным недостатком.
The Linux версия программы-вымогателя была впервые обнаружена в декабре 2022 года исследователем SentinelLabs по имени Антонис Терефос. Его анализ показал, что вариант Linux почти идентичен варианту Windows, но с несколькими небольшими (хотя и важными) отличиями.
А именно, пользователи Linux могли незаметно расшифровать все затронутые файлы и восстановить их. конечные точки - без необходимости платить преступникам.
Получение главного ключа
Среди этих отличий является тот факт, что версия для Linux «не шифровала ключи RC4, используемые для шифрования файлов, с помощью асимметричного алгоритма на основе RSA, используемого в варианте для Windows.
В отличие от версии для Windows, Linux использует жестко закодированный «мастер-ключ» RC4, который генерирует ключи шифрования, а затем использует тот же ключ для шифрования и локального хранения файлов. Когда SentinelLabs выяснили это, они использовали уязвимость, чтобы бесплатно получить ключи и отменить шифрование. Теперь команда создала скрипт Python для автоматизации процесса, который можно найти на GitHub.
Но это не единственный серьезный недостаток этой программы-вымогателя. Судя по всему, вредонос также записывает в зашифрованный файл дополнительные данные, такие как его размер и время шифрования. Обычно этот тип данных запутан, поскольку он может помочь экспертам-криминалистам идентифицировать важные документы. В данном случае она вообще не скрывалась.
Все это привело исследователей к выводу, что программа-вымогатель Clop, по крайней мере, в ее нынешнем виде, вряд ли станет серьезной угрозой. Теперь, когда кота вытащили из мешка, можно с уверенностью предположить, что новая версия находится в разработке и скоро она может быть выпущена.
Тем не менее, такие новости всегда хороши, особенно для пострадавших:
"Мы заранее поделились своими выводами с соответствующими партнерами из правоохранительных органов и разведки и продолжим сотрудничество с соответствующими организациями. чтобы повлиять на экономику пространства программ-вымогателей в пользу защитников", — сообщили в SentinelLabs BleepingComputer.
- Это лучшие брандмауэры на данный момент
Через: BleepingComputer
Оригинал