Дефектный шифратор Linux-версии Cl0p позволил экспертам создать декриптор

Татьяна Никитина 07 Февраля 2023 - 18:43

Домашние пользователи

Корпорации

Linux

Программы-вымогатели

Программы-шифровальщики

...

Дефектный шифратор Linux-версии Cl0p позволил экспертам создать декриптор

У шифровальщика Cl0p, атакующего Windows-машины, появился брат-близнец, совместимый с Linux. Новинка оказалась совсем сырой: в ней отсутствуют некоторые прежние функции, а схема шифрования пока слаба и допускает восстановление файлов.

Образец, подвергнутый анализу в SentinelOne, был обнаружен в конце декабря в ходе вымогательских атак на учебные заведения Колумбии. Злоумышленники использовали его вместе с Windows-версией Cl0p.

Как выяснилось, вирусописатели не стали портировать зловреда на Linux, а создали кастомную сборку. Новобранец использует тот же алгоритм шифрования (RC4), что и Windows-версия, и почти ту же логику, но начисто лишен механизмов самозащиты. Несмотря на это, он пока плохо детектится — его распознают лишь 2 антивируса из 63 на VirusTotal (по состоянию на 7 февраля).

При запуске вредонос создает новый процесс и пытается повысить привилегии до уровня, позволяющего шифровать данные. По завершении черного дела он сбрасывает в систему короткую записку в текстовом формате:

При поиске объектов для шифрования Linux-версия Cl0p не перечисляет диски, а использует небольшой список целевых папок, вшитый в код. Этот перечень включает /home, /root, /opt и папки с файлами базы данных Oracle (/u01 – /u04). В настоящее время имя Oracle редко встретишь среди целей Linux-шифровальщиков, они скорее будут интересоваться содержимым виртуальных машин VMware ESXi.

В новом Cl0p отсутствует поддержка алгоритмов хеширования, позволяющая делать исключения для некоторых файлов и папок. Исследователи также не нашли вшитого списка исключений, механизма дифференциации обработки файлов разного веса, параметров командной строки, позволяющих управлять процессом шифрования.

Текущая Linux-версия не применяет RSA, чтобы скрыть RC4-ключи, используемые для шифрования файлов. Зловреду вшили в код мастер-ключ RC4, который он использует и для генерации ключей, и для их защиты, сохраняя итоги локально.

Более того, сгенерированный ключ RC4 не проверяется перед шифрованием (в Windows-версии такая проверка присутствует). Отсутствие адекватной защиты ключей позволяет без особых усилий добыть их и использовать для расшифровки, что и сделали исследователи, ускорив процесс с помощью Python-скрипта.

Созданный декриптор передан правоохранительным органам для оказания помощи жертвам заражения. Спасительный инструмент также выложили в общий доступ на GitHub.

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 09 Апреля 2026 - 16:47

Android Ошибки конфигурации программ Домашние пользователи

Samsung Galaxy S22 Ultra начали превращаться в кирпич после сброса настроек

Некоторые владельцы Galaxy S22 Ultra столкнулись с очень странной проблемой: после сброса к заводским настройкам их смартфоны внезапно начинают считаться корпоративными устройствами, якобы принадлежащими некой Numero LLC. Из-за этого телефон блокируется через механизм Knox Mobile Enrollment, а пользователь фактически теряет над ним контроль.

Сценарий у пострадавших почти одинаковый, как описывают в Android Authority и сами пользователи на форуме Samsung.

После сброса до заводских настроек человек подключает смартфон к Wi-Fi и начинает обычную настройку Android, но вместо привычного входа в аккаунт получает экран с предупреждением «This device isn’t private».

Дальше система сообщает, что устройство управляется организацией, а действия пользователя могут быть видны удалённому администратору. При этом владельцы утверждают, что покупали смартфоны как обычные розничные устройства, а не как часть корпоративного парка.

Самое неприятное здесь — простыми способами это не лечится. По сообщениям пользователей, повторные сбросы и даже ручная перепрошивка через Odin не помогают. Причина в том, что такая привязка, вероятно, проверяется на уровне IMEI через серверы Samsung: если устройство числится за организацией, профиль MDM подтягивается снова уже во время первоначальной настройки.

Дополнительные подозрения вызывает и сам «администратор». В жалобах фигурирует приложение SAMSUNG ADMIN, а рядом с ним — странный брендинг FRP UNLOCK SAMSUNG и название компании Numero LLC, которую журналисты не нашли в обычных американских реестрах компаний.

Почему это вообще могло произойти, пока до конца неясно. Среди возможных версий называют компрометацию аккаунта реселлера с доступом к Knox Mobile Enrollment, использование сторонних сомнительных сервисов разблокировки, а также возможные злоупотребления вокруг корпоративных механизмов Samsung.

Хуже всего то, что пользователи, по их словам, оказываются в замкнутом круге между поддержкой Samsung и командами Knox: одни отправляют к другим, а готового механизма быстро снять такую привязку, похоже, нет. Формально правильный путь — обращаться в Samsung с подтверждением покупки и требовать отвязки IMEI, но на практике это, судя по отзывам, может затянуться надолго.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!