检测到用于Linux的RansomEXX版本

研究人员来自 卡巴斯基实验室 确定了一个 Linux版本d勒索软件恶意软件 “ RansomEXX”。

最初，RansomEXX 仅在Windows平台上分发 并因几次重大事件而声名狼藉，包括德克萨斯州交通运输部和柯尼卡美能达在内的各种政府机构和公司系统的失败。

关于RansomEXX

RansomEXX加密磁盘上的数据，然后要求赎金 获取解密密钥。 

使用库组织加密 姆贝德尔斯 de 开源。 一旦启动， 恶意软件会生成256位密钥 并使用它在ECB模式下使用AES块加密来加密所有可用文件。 

之后， 每秒生成一个新的AES密钥， 也就是说，不同的文件使用不同的AES密钥加密。

每个AES密钥均使用RSA-4096公钥加密 嵌入恶意软件代码 并附加到每个加密文件。 为了解密，勒索软件提出从他们那里购买私钥。

RansomEXX的特殊功能 是 用于针对性攻击 在此期间，攻击者可以通过漏洞或社会工程方法的折衷来访问网络上的一个系统，然后攻击其他系统，并为每个受攻击的基础架构部署专门组装的恶意软件变体，包括名称公司以及每个不同的联系方式。

最初， 在攻击企业网络期间，攻击者 他们试图控制 尽可能多的工作站上安装恶意软件，但事实证明这种策略是不正确的，而且在许多情况下，使用备份只是简单地重新安装了系统，而无需支付赎金。 

现在 网络犯罪分子的策略已经改变 y 他们的目标是主要击败公司服务器系统 尤其是集中式存储系统，包括运行Linux的系统。

因此，看到RansomEXX交易员已使其成为行业中的决定性趋势就不足为奇了。 其他勒索软件运营商也可能会在将来部署Linux版本。

我们最近发现了一种新的文件加密木马，它被创建为ELF可执行文件，旨在对基于Linux的操作系统控制的计算机上的数据进行加密。

经过初步分析，我们注意到特洛伊木马程序的代码，勒索注释的文本以及勒索的一般方法的相似之处，这表明我们实际上已经找到了以前已知的勒索软件勒索软件家族的Linux构建。 该恶意软件已知会攻击大型组织，并于今年早些时候最活跃。

RansomEXX是一个非常特定的木马。 每个恶意软件样本均包含受害组织的硬编码名称。 此外，加密文件的扩展名和用于联系勒索者的电子邮件地址都使用受害者的名字。

而且这一运动似乎已经开始。 据网络安全公司Emsisoft称，除了RansomEXX，Mespinoza（Pysa）勒索软件背后的运营商最近还从其最初的Windows版本开发了Linux变体。 据Emsisoft称，他们发现的RansomEXX Linux变体于XNUMX月份首次实现。

这不是恶意软件运营商第一次考虑开发其恶意软件的Linux版本。

例如，我们可以举出KillDisk恶意软件的案例，该恶意软件曾在2015年被用来瘫痪乌克兰的电网。

这种变体使得“在加密文件并要求大笔赎金之后，Linux机器无法启动”。 ESET研究人员指出，它具有Windows版本和Linux版本，“这绝对是我们每天都看不到的东西”。

最后，如果您想进一步了解它，可以查看卡巴斯基出版物的详细信息。 在下面的链接中。