Дефектный шифратор Linux-версии Cl0p позволил экспертам создать декриптор

Татьяна Никитина 07 Февраля 2023 - 18:43

Домашние пользователи

Корпорации

Linux

Программы-вымогатели

Программы-шифровальщики

...

Дефектный шифратор Linux-версии Cl0p позволил экспертам создать декриптор

У шифровальщика Cl0p, атакующего Windows-машины, появился брат-близнец, совместимый с Linux. Новинка оказалась совсем сырой: в ней отсутствуют некоторые прежние функции, а схема шифрования пока слаба и допускает восстановление файлов.

Образец, подвергнутый анализу в SentinelOne, был обнаружен в конце декабря в ходе вымогательских атак на учебные заведения Колумбии. Злоумышленники использовали его вместе с Windows-версией Cl0p.

Как выяснилось, вирусописатели не стали портировать зловреда на Linux, а создали кастомную сборку. Новобранец использует тот же алгоритм шифрования (RC4), что и Windows-версия, и почти ту же логику, но начисто лишен механизмов самозащиты. Несмотря на это, он пока плохо детектится — его распознают лишь 2 антивируса из 63 на VirusTotal (по состоянию на 7 февраля).

При запуске вредонос создает новый процесс и пытается повысить привилегии до уровня, позволяющего шифровать данные. По завершении черного дела он сбрасывает в систему короткую записку в текстовом формате:

При поиске объектов для шифрования Linux-версия Cl0p не перечисляет диски, а использует небольшой список целевых папок, вшитый в код. Этот перечень включает /home, /root, /opt и папки с файлами базы данных Oracle (/u01 – /u04). В настоящее время имя Oracle редко встретишь среди целей Linux-шифровальщиков, они скорее будут интересоваться содержимым виртуальных машин VMware ESXi.

В новом Cl0p отсутствует поддержка алгоритмов хеширования, позволяющая делать исключения для некоторых файлов и папок. Исследователи также не нашли вшитого списка исключений, механизма дифференциации обработки файлов разного веса, параметров командной строки, позволяющих управлять процессом шифрования.

Текущая Linux-версия не применяет RSA, чтобы скрыть RC4-ключи, используемые для шифрования файлов. Зловреду вшили в код мастер-ключ RC4, который он использует и для генерации ключей, и для их защиты, сохраняя итоги локально.

Более того, сгенерированный ключ RC4 не проверяется перед шифрованием (в Windows-версии такая проверка присутствует). Отсутствие адекватной защиты ключей позволяет без особых усилий добыть их и использовать для расшифровки, что и сделали исследователи, ускорив процесс с помощью Python-скрипта.

Созданный декриптор передан правоохранительным органам для оказания помощи жертвам заражения. Спасительный инструмент также выложили в общий доступ на GitHub.

Следующая главная новость »

ИБ без ручного режима: как автоматизировать защиту в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 26 Мая 2026 - 18:10

Фишинг Мошенничество Онлайн-мошенничество Домашние пользователи

Фишеры научились обходить одноразовые коды через iMessage и RCS

Фишинговые атаки выходят на новый уровень: мошенники всё чаще уходят от обычных СМС и переносят свои схемы в RCS и Apple iMessage — туда, где сообщения выглядят солиднее, доставляются через интернет и хуже фильтруются операторами.

По данным Google Threat Intelligence Group, быстро растущая китайскоязычная экосистема фишинга активно использует RCS и iMessage, чтобы обходить защиту на уровне телеком-операторов.

В отличие от классических СМС, эти каналы работают через дата-сети и используют сквозное шифрование, поэтому операторам сложнее анализировать и блокировать вредоносные сообщения.

Для жертвы всё выглядит вполне прилично: сообщение с красивым оформлением, медиа, уведомлениями о прочтении и иногда даже брендированными элементами. Выглядит всё как нормальная коммуникация от банка, магазина, платёжного сервиса или цифрового кошелька.

Главное отличие новых схем — атака идёт в режиме реального времени. Пользователь вводит логин и пароль на фишинговой странице, данные сразу улетают в панель злоумышленника. Последний тут же инициирует настоящий запрос одноразового кода, а жертву просят ввести OTP на той же поддельной странице.

Злоумышленники всё чаще охотятся не просто за паролями, а за сессионными токенами и возможностью добавить украденную банковскую карту в свой цифровой кошелёк. После этого данные превращаются в токенизированный платёжный инструмент, которым можно пользоваться для бесконтактных платежей и крупных операций.

Google отмечает, что такие PhaaS-платформы уже превратились в зрелую криминальную инфраструктуру. Их рекламируют в Telegram, а вместе с фишингом предлагают домены, VPS, украденные данные и даже услуги по отмыванию денег.

Отдельный неприятный штрих — локализация. Например, платформа YY Lai Yu предлагает сотни шаблонов под разные страны, бренды и сценарии. Для Японии используют приманки с бонусными баллами, субсидиями на коммунальные услуги, PayPay и Rakuten. Мошенники больше не переводят шаблон через онлайн-переводчик на коленке, а реально подстраиваются под привычки конкретной аудитории.

В дело уже подключили и ИИ. Платформы вроде Darcula умеют автоматически клонировать сайты, подтягивая HTML, CSS и JavaScript с оригинальных страниц. Получаются уникальные фишинговые копии, которые сложнее ловить по сигнатурам. А чтобы защитники не расслаблялись, многие страницы добавляют антибот-проверки и ручные шаги верификации.

ИБ без ручного режима: как автоматизировать защиту в 2026?
Регистрируйтесь на эфир!