Дефектный шифратор Linux-версии Cl0p позволил экспертам создать декриптор

Татьяна Никитина 07 Февраля 2023 - 18:43

Домашние пользователи

Корпорации

Linux

Программы-вымогатели

Программы-шифровальщики

...

Дефектный шифратор Linux-версии Cl0p позволил экспертам создать декриптор

У шифровальщика Cl0p, атакующего Windows-машины, появился брат-близнец, совместимый с Linux. Новинка оказалась совсем сырой: в ней отсутствуют некоторые прежние функции, а схема шифрования пока слаба и допускает восстановление файлов.

Образец, подвергнутый анализу в SentinelOne, был обнаружен в конце декабря в ходе вымогательских атак на учебные заведения Колумбии. Злоумышленники использовали его вместе с Windows-версией Cl0p.

Как выяснилось, вирусописатели не стали портировать зловреда на Linux, а создали кастомную сборку. Новобранец использует тот же алгоритм шифрования (RC4), что и Windows-версия, и почти ту же логику, но начисто лишен механизмов самозащиты. Несмотря на это, он пока плохо детектится — его распознают лишь 2 антивируса из 63 на VirusTotal (по состоянию на 7 февраля).

При запуске вредонос создает новый процесс и пытается повысить привилегии до уровня, позволяющего шифровать данные. По завершении черного дела он сбрасывает в систему короткую записку в текстовом формате:

При поиске объектов для шифрования Linux-версия Cl0p не перечисляет диски, а использует небольшой список целевых папок, вшитый в код. Этот перечень включает /home, /root, /opt и папки с файлами базы данных Oracle (/u01 – /u04). В настоящее время имя Oracle редко встретишь среди целей Linux-шифровальщиков, они скорее будут интересоваться содержимым виртуальных машин VMware ESXi.

В новом Cl0p отсутствует поддержка алгоритмов хеширования, позволяющая делать исключения для некоторых файлов и папок. Исследователи также не нашли вшитого списка исключений, механизма дифференциации обработки файлов разного веса, параметров командной строки, позволяющих управлять процессом шифрования.

Текущая Linux-версия не применяет RSA, чтобы скрыть RC4-ключи, используемые для шифрования файлов. Зловреду вшили в код мастер-ключ RC4, который он использует и для генерации ключей, и для их защиты, сохраняя итоги локально.

Более того, сгенерированный ключ RC4 не проверяется перед шифрованием (в Windows-версии такая проверка присутствует). Отсутствие адекватной защиты ключей позволяет без особых усилий добыть их и использовать для расшифровки, что и сделали исследователи, ускорив процесс с помощью Python-скрипта.

Созданный декриптор передан правоохранительным органам для оказания помощи жертвам заражения. Спасительный инструмент также выложили в общий доступ на GitHub.

Следующая главная новость »

Атаки на цепочку поставок: как защититься до компрометации?
Регистрируйтесь на эфир!

Екатерина Быстрова 20 Апреля 2026 - 12:22

iOS Трояны Домашние пользователи Лаборатория Касперского

Троян для кражи криптовалюты проник в App Store под видом криптокошельков

Даже App Store больше не выглядит безопасно, по крайней мере, если речь идёт о криптокошельках. Эксперты «Лаборатории Касперского» обнаружили в магазине Apple сразу несколько фальшивых приложений, которые маскируются под популярные сервисы и в итоге приводят пользователя к краже средств.

Злоумышленники размещают в App Store приложения, внешне максимально похожие на MetaMask, Trust Wallet, Ledger и другие известные криптокошельки.

Внутри ничего особо опасного: калькулятор, простая игра или менеджер задач. Всё это нужно лишь для одного — не вызвать подозрений и пройти модерацию.

Но дальше начинается самое интересное. После запуска такое приложение открывает в браузере страницу, стилизованную под App Store, где пользователю предлагают «правильно» скачать нужный кошелёк. На самом деле именно здесь и подсовывается троянизированная версия приложения.

Всего эксперты нашли 26 таких фейков. По косвенным признакам кампания работает как минимум с осени 2025 года и, вероятно, связана с уже известной активностью SparkKitty.

Дальше всё зависит от типа кошелька. Если речь о «горячем» (то есть приложении на смартфоне), зловред просто отслеживает момент создания или восстановления кошелька и перехватывает сид-фразу. Ввёл её — считай, отдал доступ ко всем средствам.

С «холодными» кошельками сложнее, но и тут злоумышленники нашли подход. Например, в случае с Ledger они имитируют «проверку безопасности» и просят пользователя ввести сид-фразу, хотя официальное приложение никогда этого не требует.

Интересно, что почти все обнаруженные приложения были доступны в китайском сегменте App Store. Это объясняется просто: официальных версий многих криптокошельков там нет, а значит, пользователи чаще ищут альтернативы. Но сами вредоносные механизмы не имеют региональных ограничений, так что схема потенциально может «переехать» и в другие страны.

В «Лаборатории Касперского» подчёркивают: сами по себе эти приложения не содержат вредоносного кода — они играют роль приманки. Основная атака разворачивается уже за пределами App Store, через фишинг и установку профиля разработчика. Этот механизм изначально предназначен для корпоративных приложений, но в руках злоумышленников превращается в удобный канал доставки зловреда.

Атаки на цепочку поставок: как защититься до компрометации?
Регистрируйтесь на эфир!