linux软件_RansomExx勒索软件现在也针对Linux系统

文章来源&＃xff1a;https://securityaffairs.co

原文链接&＃xff1a;https://securityaffairs.co/wordpress/110491/malware/linux-version-ransomexx-ransowmare.html

RansomExx Ransomware团伙正在通过创建能够感染Linux机器的新版本来扩展其业务。

RansomExx勒索软件运营商正在通过开发Linux版本的恶意软件来扩展其业务。

卡巴斯基的研究人员分析了Linux版本的RansomExx勒索软件&＃xff0c;也被称为Defray777。

本周&＃xff0c;RansomExx勒索软件已经参与了针对巴西高级法院的攻击。

RansomEXX是人为操作的勒索软件&＃xff0c;这意味着攻击者在获得对目标网络的访问权限后便手动感染了系统。

2020年6月&＃xff0c;相同的勒索软件被用于对德克萨斯州交通运输部的攻击。8月&＃xff0c;跨国技术柯尼卡美能达(Konica Minolta)感染了系统&＃xff1b;9月&＃xff0c;IPG Photonics高性能激光开发商和软件感染了该系统。提供商Tyler Technologies。

最近发现的Linux版本的RansomExx勒索软件是作为ELF可执行文件构建的&＃xff0c;名为“ svc-new”&＃xff0c;可对目标服务器进行加密。

“经过初步分析&＃xff0c;我们注意到特洛伊木马程序的代码&＃xff0c;勒索注释的文字和勒索的一般方法的相似之处&＃xff0c;这表明我们实际上已经遇到了以前已知的勒索软件家族RansomEXX的Linux版本&＃xff0c;”他读到卡巴斯基发表的报告。

启动特洛伊木马程序后&＃xff0c;它将生成一个256位密钥&＃xff0c;该密钥用于使用ECB模式下的AES块密码对可以到达的所有受害者文件进行加密。AES密钥由嵌入在恶意软件代码中的公共RSA-4096密钥加密&＃xff0c;并附加到所有加密文件中。

专家指出&＃xff0c;勒索软件缺乏其他特洛伊木马实现的其他功能&＃xff0c;例如C2通信&＃xff0c;反分析功能以及杀死进程的能力。

与Windows版本不同&＃xff0c;Linux版本不会清除可用空间。

专家注意到&＃xff0c;当受害者支付赎金时&＃xff0c;他们将同时获得Linux和Windows解密程序&＃xff0c;以及相应的RSA-4096私钥和嵌入在可执行文件中的加密文件扩展名。

尽管Windows和Linux变体是由具有不同优化选项和针对不同平台的不同编译器构建的&＃xff0c;但它们的相似之处显而易见&＃xff1a;

卡巴斯基的报告还包括新版本的危害指标(IoC)。

转载侵删