Monti ransomware-ի հետևում կանգնած հաքերները երկամսյա ընդմիջումից հետո կրկին ի հայտ են եկել Linux-ի նոր տարբերակով, որոնց գործողություններն ուղղված են կառավարության և իրավական մարմինների դեմ ուղղված հարձակումներին:
Trend Micro-ի նոր տարբերակը յուրօրինակ տարբերակ է, որն ի համեմատ Linux-ի նախորդ տարբեակների զգալի փոփոխություններ է բովանդակում:
«Ի տարբերություն նախկին տարբերակի, որը հիմնականում հիմնված է Conti-ի source code-ի վրա, այս նոր տարբերակն օգտագործում է այլ encryptor», – նշում են Trend Micro-ի փորձագետներ՝ Նաթանիել Մորալեսը և Ջոշուա Փոլ Իգնասիոն:
Որոշ կարևոր փոփոխություններ ներառում են «–whitelist» պարամետրի ավելացումը, որը locker-ին հրահանգում է շրջանցել վիրտուալ մեքենաների ցանկը, ինչպես նաև իրականացնում է command-line արգումենտի հեռացումը՝ –size, –log և –vmlist:
Linux-ի տարբերակը նաև նախագծված է motd ֆայլի աշխատանքը խաթարելու համար` այն կիրառվում է Salsa20-ի փոխարեն ES-256-CTR-ի կոդավորումն իրականացնելու համար:
Այլ կերպ ասած, 1,048 ՄԲ-ից մեծ, բայց 4,19 ՄԲ-ից փոքր ֆայլերը կունենան գաղտնագրված ֆայլի միայն առաջին 100,000 (0xFFFFF) բայթերը, մինչդեռ 4,19 ՄԲ-ից ավելի ֆայլերի բովանդակության մի մասը կարգելափակվի՝ Shift Right գործողությամբ պայմանավորված:
Այն ֆայլերը, որոնք ունեն 1,048 ՄԲ-ից փոքր չափս, իրենց ողջ բովանդակությամբ կոդավորվում են:
«Ավելին, փոխելով կոդը՝ Monti-ի օպերատորները մեծացնում են հայտնաբերումից խուսափելու կարողությունը՝ դարձնելով վնասակար գործողություններն էլ ավելի դժվար ու անբացահայտելի»:
Աղբյուրը՝ https://thehackernews.com/
