الباحثون في كاسبيرسكي لاب حددت أ نسخة لينكس دبرامج الفدية الضارة "RansomEXX".
في البداية ، RansomEXX تم توزيعه فقط على منصة Windows وأصبحت مشهورة بسبب العديد من الحوادث الكبرى مع هزيمة أنظمة الوكالات والشركات الحكومية المختلفة ، بما في ذلك وزارة النقل في تكساس وكونيكا مينولتا.
حول RansomEXX
يقوم RansomEXX بتشفير البيانات الموجودة على القرص ثم يتطلب فدية للحصول على مفتاح فك التشفير.
يتم تنظيم التشفير باستخدام المكتبة com.mbedtls de المصدر المفتوح. بمجرد إطلاقه ، يقوم البرنامج الضار بإنشاء مفتاح 256 بت ويستخدمه لتشفير جميع الملفات المتاحة باستخدام تشفير كتلة AES في وضع ECB.
بعد ذلك، يتم إنشاء مفتاح AES جديد كل ثانية ، وهذا يعني أن الملفات المختلفة يتم تشفيرها باستخدام مفاتيح AES مختلفة.
يتم تشفير كل مفتاح AES باستخدام مفتاح عام RSA-4096 مضمن في كود البرامج الضارة ويتم إرفاقه بكل ملف مشفر. لفك التشفير ، يعرض برنامج الفدية شراء مفتاح خاص منها.
ميزة خاصة من RansomEXX هو تستخدم في الهجمات المستهدفة ، يمكن للمهاجمين خلالها الوصول إلى أحد الأنظمة الموجودة على الشبكة من خلال اختراق نقاط الضعف أو أساليب الهندسة الاجتماعية ، وبعد ذلك يهاجمون الأنظمة الأخرى وينشرون متغيرًا مُجمَّعًا بشكل خاص من البرامج الضارة لكل بنية تحتية مهاجمتها ، بما في ذلك الاسم من الشركة وكل من تفاصيل الاتصال المختلفة.
في البداية ، خلال الهجوم على شبكات الشركاتالمهاجمين حاولوا السيطرة أكبر عدد ممكن من محطات العمل لتثبيت برامج ضارة عليها ، ولكن تبين أن هذه الاستراتيجية غير صحيحة وفي كثير من الحالات تمت إعادة تثبيت الأنظمة ببساطة باستخدام نسخة احتياطية دون دفع الفدية.
الآن تغيرت استراتيجية مجرمي الإنترنت y كان هدفهم هو هزيمة أنظمة خادم الشركة بشكل أساسي وخاصة لأنظمة التخزين المركزية ، بما في ذلك تلك التي تعمل بنظام Linux.
لذلك لن يكون من المستغرب أن نرى أن تجار RansomEXX جعلوها اتجاهًا محددًا في الصناعة ؛ قد ينشر مشغلو برامج الفدية الأخرى أيضًا إصدارات من Linux في المستقبل.
اكتشفنا مؤخرًا حصان طروادة جديد لتشفير الملفات تم إنشاؤه كملف ELF قابل للتنفيذ ويهدف إلى تشفير البيانات على الأجهزة التي تتحكم فيها أنظمة التشغيل المستندة إلى Linux.
بعد التحليل الأولي ، لاحظنا أوجه التشابه في كود حصان طروادة ، ونص ملاحظات الفدية ، والنهج العام للابتزاز ، مما يشير إلى أننا وجدنا في الواقع بناء Linux لعائلة RansomEXX المعروفة سابقًا من رانسوم وير. من المعروف أن هذه البرامج الضارة تهاجم المؤسسات الكبيرة وكانت أكثر نشاطًا في وقت سابق من هذا العام.
RansomEXX هو حصان طروادة محدد جدًا. تحتوي كل عينة من البرامج الضارة على اسم مشفر للمنظمة الضحية. علاوة على ذلك ، يستخدم كل من امتداد الملف المشفر وعنوان البريد الإلكتروني للاتصال بالابتزاز اسم الضحية.
ويبدو أن هذه الحركة قد بدأت بالفعل. وفقًا لشركة Emsisoft للأمن السيبراني ، بالإضافة إلى RansomEXX ، قام المشغلون الذين يقفون وراء برنامج الفدية Mespinoza (Pysa) مؤخرًا بتطوير متغير Linux من الإصدار الأولي من Windows. وفقًا لـ Emsisoft ، تم تنفيذ متغيرات RansomEXX Linux التي اكتشفوها لأول مرة في يوليو.
ليست هذه هي المرة الأولى التي يفكر فيها مشغلو البرامج الضارة في تطوير إصدار Linux من البرامج الضارة الخاصة بهم.
على سبيل المثال ، يمكننا الاستشهاد بحالة البرنامج الضار KillDisk ، والذي تم استخدامه لشل شبكة الطاقة في أوكرانيا في عام 2015.
جعل هذا البديل "أجهزة Linux مستحيلة التشغيل ، بعد تشفير الملفات والمطالبة بفدية كبيرة". أشار باحثو ESET إلى أنه كان يحتوي على إصدار Windows وإصدار Linux ، "وهو بالتأكيد شيء لا نراه كل يوم".
أخيرًا ، إذا كنت تريد معرفة المزيد عنها ، فيمكنك التحقق من تفاصيل منشور Kaspersky في الرابط التالي.
رائعة حقا! وظيفة جيدة! في صحتك
كان لينكس هو خلاصي الوحيد لتجنب البرامج الضارة ، إنه أمر مخز حقًا ...
كم حجم! نعلم جميعًا أن RANSOMEXX كان على وشك الولادة!
ملاحظة ممتازة