RansomExx勒索软件开始瞄准Linux

安全厂商卡巴斯基发现,最近十分猖獗的勒索软件RansomExx,已经开始将目标转向Linux系统。

卡巴斯基近期发现一只加密文件的木马程序,它以ELF执行文件方式流传骗取用户安装执行,目的在加密Linux环境下的文件。经过程序代码分析、以及该木马作者留下的消息及勒索手法,显示就是今年十分活跃的RansomExx。

RansomExx是向来锁定大公司为主,今年来已经有Konica Minolta、美国公主机关最大供应商的Tyler遭到毒手,本周巴西最高上诉法院被黑也是RansomExx所为。

RansomEXX是精准攻击的勒索软件,每一只样本都会写入受害目标的名字、而加密文件文件扩展名及电子邮件也都是由受害组织名称组成。根据木马样本使用的程序代码组织方式和加密手法判断,和Windows版RansomEXX来自相同程序代码。卡巴斯基因而将样本命名为Trojan-Ransom.Linux.Ransomexx。

一旦被用户打开,Linux版RansomEXX会产生256-bit AES密钥来加密所不到得到的文件,而这把AES密钥还以一把嵌在木马程序主体的RSA-4096公钥加密。它还会每0.18秒重新产生及重加密AES密钥。

但有趣的是,研究人员发现,该样本除了留下加密消息外,一般木马程序会有的招式,像是反分析、创建C&C连接、终止行程执行等都没有。另外,如果受害单位付了赎金,还会同时拿到Linux及Windows版解密密钥。

Bleeping Computer引述安全厂商Emsisoft报道,Linux版RansomEXX可能今年7月、甚至更早便开始流传。

发表评论