Дефектный шифратор Linux-версии Cl0p позволил экспертам создать декриптор

Татьяна Никитина 07 Февраля 2023 - 18:43

Домашние пользователи

...

У шифровальщика Cl0p, атакующего Windows-машины, появился брат-близнец, совместимый с Linux. Новинка оказалась совсем сырой: в ней отсутствуют некоторые прежние функции, а схема шифрования пока слаба и допускает восстановление файлов.

Образец, подвергнутый анализу в SentinelOne, был обнаружен в конце декабря в ходе вымогательских атак на учебные заведения Колумбии. Злоумышленники использовали его вместе с Windows-версией Cl0p.

Как выяснилось, вирусописатели не стали портировать зловреда на Linux, а создали кастомную сборку. Новобранец использует тот же алгоритм шифрования (RC4), что и Windows-версия, и почти ту же логику, но начисто лишен механизмов самозащиты. Несмотря на это, он пока плохо детектится — его распознают лишь 2 антивируса из 63 на VirusTotal (по состоянию на 7 февраля).

При запуске вредонос создает новый процесс и пытается повысить привилегии до уровня, позволяющего шифровать данные. По завершении черного дела он сбрасывает в систему короткую записку в текстовом формате:

При поиске объектов для шифрования Linux-версия Cl0p не перечисляет диски, а использует небольшой список целевых папок, вшитый в код. Этот перечень включает /home, /root, /opt и папки с файлами базы данных Oracle (/u01 – /u04). В настоящее время имя Oracle редко встретишь среди целей Linux-шифровальщиков, они скорее будут интересоваться содержимым виртуальных машин VMware ESXi.

В новом Cl0p отсутствует поддержка алгоритмов хеширования, позволяющая делать исключения для некоторых файлов и папок. Исследователи также не нашли вшитого списка исключений, механизма дифференциации обработки файлов разного веса, параметров командной строки, позволяющих управлять процессом шифрования.

Текущая Linux-версия не применяет RSA, чтобы скрыть RC4-ключи, используемые для шифрования файлов. Зловреду вшили в код мастер-ключ RC4, который он использует и для генерации ключей, и для их защиты, сохраняя итоги локально.

Более того, сгенерированный ключ RC4 не проверяется перед шифрованием (в Windows-версии такая проверка присутствует). Отсутствие адекватной защиты ключей позволяет без особых усилий добыть их и использовать для расшифровки, что и сделали исследователи, ускорив процесс с помощью Python-скрипта.

Созданный декриптор передан правоохранительным органам для оказания помощи жертвам заражения. Спасительный инструмент также выложили в общий доступ на GitHub.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 07 Ноября 2025 - 13:23

Общее

Опубликована программа конференции «Совершенно безопасно 3.0: Точка опоры»

Опубликована полная программа конференции «Совершенно безопасно 3.0: Точка опоры», которая пройдёт 12 ноября с 10:00 до 16:30 (МСК). В центре обсуждения — объединение подходов экономической и информационной безопасности, автоматизация, искусственный интеллект и роль человека как ключевого элемента системы защиты.

Откроет конференцию дискуссия «Экономическая и информационная безопасность: синергия защиты или конфликт компетенций».

Участники — Алексей Борисов (Фонд «Сколково»), Виктор Минин (АРСИБ), Вячеслав Гребнев (ГК Гарда), Василий Окулесский (ЦМРБанк) и Юрий Драченин (Контур.Эгида, Staffcop).

Эксперты обсудят, как объединить метрики эффективности ЭБ и ИБ, какие компетенции станут определяющими для специалистов нового поколения и как компании могут решать проблему кадрового дефицита. Модератором выступит независимый эксперт Игорь Бирюков.

Во второй части участники конференции расскажут о практических проектах и технологических изменениях.

Даниил Бориславский (Staffcop) — о том, как автоматизация меняет мышление специалистов и почему человек остаётся центром любой системы безопасности.
Антон Ломовский, Василий Прокопьев и Елена Катаева (Контур.Фокус) — о комплексной проверке контрагентов, выявлении конфликта интересов и примерах снижения бизнес-рисков через автоматизацию.
Никита Габдуллин и Иван Черноскутов (Контур.Фокус) — о переходе проверок контрагентов от простых агрегаторов данных к ИИ-агентам.

Отдельный блок будет посвящён роли человека в безопасности.

Юрий Драченин (Контур.Эгида) объяснит, почему безопасность начинается с сотрудника и как формируется культура доверия.
Евгений Успенский (ДРТ Консалтинг) — о том, как в эпоху ИИ аналитикам помогает критическое мышление.
Никита Лисенков (ICSA) поделится примерами применения Process Mining и Anti-Fraud систем.
Анастасия Федорова (Positive Education) расскажет о развитии киберкомпетенций и формировании устойчивых команд.
Артем Избаенков (ГК Солар) представит доклад «ИИ-боты: новая атака на доверие», где объяснит, как выстраивать цифровой иммунитет организации.

В финале состоится сессия «Безопасность в балансе: находим опорную точку» — о том, как превратить безопасность из контролирующей функции в фактор устойчивого роста бизнеса.

Среди участников — Александра Тихомирова (Абсолют Банк), Наталья Пигарева (независимый эксперт) и другие специалисты.