KillDisk 是一款臭名昭的恶意软件，它可擦除和更改受害者的文件。然而，来自CyberX的研究员发现KillDisk配备了勒索软件组件，能够锁定受害者电脑并且勒索赎金。

不久之后，ESET的研究员发现了针对Linux电脑版本的KillDisk。ESET的研究者声称KillDisk勒索软件在Windows和Linux上的运行方式完全不同，在Linux上，KillDisk不会将加密密钥保存在磁盘或联机的任何位置。这意味着受害者将永远不能恢复文件，因为加密密钥将在加密过程结束之后立即丢失。

值得庆幸的是ESET说他们发现了Linux变种中允许恢复加密文件的缺陷，而这个缺陷并未存在针对Windows PCS的版本中。

Windows上的KillDisk勒索软件变种

针对Windows 的KillDisk勒索软件变种通过AES-256 key对每个文件进行加密，然后使用公共RSA-1028密钥加密AES密钥，这使得解密更难。只有在受害者支付222比特币（$215,000）后，存放于攻击者服务器中的RSA秘钥才会对受害者的文件进行解密。Windows版本的受害者桌面如下

攻击者通过Telegram协议在其服务器上接收加密密钥，用于同名IM聊天应用程序。 因此，CyberX将这些人称为TeleBots。

Linux上的KillDisk勒索软件变种

Linux变种跟Windows变种的表现完全不同。首先，Linux变种不再通过Telegram API与C&C 服务器进行通信，加密方式也完全不同。受害者的文件使用应用了4096字节文件块的Triple-DES加密技术，并且每个文件使用不同的64位秘钥进行加密。

Linux变种主要针对一下17种文件夹，它会对文件夹中的所有文件加密，并且还要加上“DoN0t0uch7h！$ CrYpteDfilE”字段。

/boot
/bin
/sbin
/lib/security
/lib64/security
/usr/local/etc
/etc
/mnt
/share
/media
/home
/usr
/tmp
/opt
/var
/root

KillDisk Linux 勒索软件也会重写用户的引导扇区，并使用GRUB显示其赎金屏幕。勒索内容中含有攻击者的E-MAIL 地址。

2015年11月，KillDisk被用于攻击一家乌克兰新闻媒体。2015年12月，KillDisk被用于攻击乌克兰电网，因BlackEnergy（一款受欢迎的犯罪软件）而闻名的组织可能是这场攻击背后的真凶。2016年12月，TeleBots 使用KillDisk勒索软件攻击乌克兰银行。不过截止目前尚未有明确证据显示TeleBots和BlackEnergy有联系。

勒索软件只是诱饵？

这种新型的勒索功能可能是用于掩盖其他攻击方式，使得公司被勒索转移注意力，从而忽略了其他入侵手段。巨大的赎金数目使得受害公司几乎不可能为恢复文件而交付那么多赎金，趁此机会，TeleBots间接逼迫公司放弃了文件，通过这样做掩盖了其他入侵行为。