檢測到用於Linux的RansomEXX版本

研究人員來自 卡巴斯基實驗室 確定了一個 Linux版本d勒索軟件惡意軟件 “ RansomEXX”。

最初，RansomEXX 僅在Windows平台上分發 並因幾次重大事件而聲名狼藉，包括德克薩斯州交通運輸部和柯尼卡美能達在內的各種政府機構和公司係統的失敗。

關於RansomEXX

RansomEXX加密磁盤上的數據，然後要求贖金 獲取解密密鑰。 

使用庫組織加密 姆貝德爾斯 de 開源。 一旦啟動， 惡意軟件會生成256位密鑰 並使用它在ECB模式下使用AES塊加密來加密所有可用文件。 

之後， 每秒生成一個新的AES密鑰， 也就是說，不同的文件使用不同的AES密鑰加密。

每個AES密鑰均使用RSA-4096公鑰加密 嵌入惡意軟件代碼 並附加到每個加密文件。 為了解密，勒索軟件提出從他們那裡購買私鑰。

RansomEXX的特殊功能 這是你的 用於針對性攻擊 在此期間，攻擊者可以通過漏洞或社會工程方法的折衷來訪問網絡中的一個系統，然後攻擊其他系統，並為每個受攻擊的基礎架構部署專門組裝的惡意軟件變體，包括公司名稱和每個不同的聯繫方式。

最初， 在攻擊企業網絡期間，攻擊者 他們試圖控制 盡可能多的工作站上安裝惡意軟件，但事實證明這種策略是不正確的，而且在許多情況下，使用備份只是簡單地重新安裝了系統，而無需支付贖金。 

現在 網絡犯罪分子的策略已經改變 y 他們的目標是主要擊敗公司服務器系統 尤其是集中式存儲系統，包括運行Linux的系統。

因此，看到RansomEXX交易員已使其成為行業中的趨勢是不足為奇的。 其他勒索軟件運營商也可能會在將來部署Linux版本。

我們最近發現了一種新的文件加密木馬，它被創建為ELF可執行文件，旨在對基於Linux的操作系統控制的計算機上的數據進行加密。

經過初步分析，我們注意到特洛伊木馬程序的代碼，勒索註釋的文本以及勒索的一般方法的相似之處，這表明我們實際上已經找到了先前已知的勒索軟件RansomEXX系列的Linux構建。 該惡意軟件已知會攻擊大型組織，並於今年早些時候最活躍。

RansomEXX是一個非常特定的木馬。 惡意軟件的每個樣本都包含受害者組織的編碼名稱。 此外，加密文件的擴展名和用於聯繫勒索者的電子郵件地址都使用受害者的名字。

而且這一運動似乎已經開始。 據網絡安全公司Emsisoft稱，除了RansomEXX，Mespinoza（Pysa）勒索軟件背後的運營商最近還從其最初的Windows版本開發了Linux變體。 據Emsisoft稱，他們發現的RansomEXX Linux變體於XNUMX月份首次實現。

這不是惡意軟件運營商第一次考慮開發其惡意軟件的Linux版本。

例如，我們可以舉出KillDisk惡意軟件的案例，該惡意軟件曾在2015年被用來癱瘓烏克蘭的電網。

這種變體使得“在加密文件並要求大筆贖金之後，Linux機器無法啟動”。 ESET研究人員指出，它具有Windows版本和Linux版本，“這絕對是我們每天都看不到的東西”。

最後，如果您想進一步了解它，可以查看卡巴斯基出版物的詳細信息。 在下面的鏈接中。