Программа-вымогатель DarkRadiation угрожает дистрибутивам Linux

Неудивительно, что большинство вредоносных программ, выпущенных в Интернете, нацелены исключительно на компьютеры Windows. В конце концов, это наиболее широко используемая операционная система в мире. Однако операционные системы на базе UNIX также все чаще становятся объектами атак злоумышленников. Пользователи Mac больше не чувствуют себя в такой безопасности, как несколько лет назад, и то же самое может относиться и к пользователям Linux. Некоторые современные семейства вредоносных программ нацелены на определенные дистрибутивы Linux, и сегодняшний пост посвящен такой угрозе - программе-вымогателю DarkRadiation.

Программа-вымогатель DarkRadiation специализируется на Red Hat и CentOS

Создатели DarkRadiation Ransomware неизвестны, но, похоже, они знакомы с тонкостями Red Hat и CentOS, двух дистрибутивов Linux, на которые нацелено это вредоносное ПО. Атака состоит из нескольких этапов, и злоумышленники используют специально созданного червя, а также общедоступные инструменты для обфускации вредоносных сценариев bash, которые они используют. По словам исследователей кибербезопасности, DarkRadiation Ransomware подвергается частым обновлениям, и они выявили десятки различных версий файлового хранилища. Однако большинство этих версий имели незначительные отличия друг от друга.

Преступники полагаются на простой скрипт-червь SSH для подбора недостаточно сложных SSH-ключей и паролей. Если соединение установлено успешно, компонент-червь развернет программу-вымогатель DarkRadiation и продолжит атаку. 

Хотя конечная цель программы-вымогателя DarkRadiation - зашифровать данные жертвы, а затем вымогать их за деньги, она также делает некоторые довольно интересные вещи на стороне. Во-первых, у него есть запутанный сценарий bash, который служит для следующих целей:

• Установка паролей всех существующих пользователей на мегапароль .
• Создание нового пользователя с именем ferrum с паролем MegPw0rD3 .
• Удалите всех остальных пользователей, кроме ferrum .

Как только файл заблокирован, программа-вымогатель применяет к нему интересное расширение - значок радиоактивности (then.) Затем он завершает работу всех экземпляров Docker и порождает записку с требованием выкупа в новом окне терминала. В течение всего этого процесса программа-вымогатель DarkRadiation и червь SSH будут сообщать злоумышленнику с помощью бота Telegram.

Программа-вымогатель DarkRadiation не считается дешифруемой, и единственным надежным вариантом восстановления для ее жертв является восстановление потерянных файлов из резервной копии.