Напомню, что авторство данного вредоноса приписывают русской хакерской группе Sandworm, которая до этого осуществляла атаки на SCADA-системы в США и Европе.

Ученые из антивирусной компании ESET обнаружили обновленный вариант вредоноса KillDisk, созданного для атак на Linux-системы. После попадания на систему жертвы утилита не устраняет файлы, а шифрует данные и требует выкуп в объеме 222 Bitcoin (примерно 250 тыс долларов США). Для этого KillDisk увеличивает свои привилегии в системе, регистрирует себя как сервис и «убивает» ряд процессов. Хакерская группировка, получившая название TeleBots, использовала KillDisk на ряду с иными утилитами, в том числе с мессенджером Telegram.

За распространением новейшей «инкарнации» KillDisk стоит группировка TeleBots, предположительно, выделившаяся из состава хакерской группы Sandworm, которая и организовала атаки на украинские энергетические компании.

Самый новый KillDisk атакует как Windows, так и Linux-системы. Новая версия трояна, проникнув на PC, шифрует часть информации, хранящейся на жестком диске, и требует выплаты выкупа за нее в размере порядка 250 тыс. долларов в электронной валюте — биткоинах. При всем этом требования выкупа в Windows и Linux-версиях идентичны. Для любого файла применяется различный набор 64-битных ключей шифрования. Малварь приобрела также функции шифратора. Для шифрования данных для Windows зловред использует ключ AES с 256-битным расширением, хранящийся на сервере правонарушителей. Другими словами платить немалый выкуп, рассчитывая на следующее восстановление данных, бесполезно.

О том, как KillDisk заражает Linux-компьютеры, в сообщении ESET не уточняется.