俄羅斯反病毒公司Doctor Web的研究人員發現一種新型勒索惡意軟件,該勒索軟件瞄準了Linux用戶,目前該惡意軟件已經感染了數十個用戶。
瞄準Linux用戶的勒索軟件
在網絡犯罪生態系統中,惡意軟件是一種有利可圖的工具,在每周發現中安全專家都會發現新型變種的惡意軟件。然而,在這一周他們發現了專業勒索吸金惡意軟件Cryptowall的新變種Cryptowall 4.0(Freebuf相關報道)。根據他們的消息,Cryptowall 4.0目前正在網絡上活躍,與此同時一種離線的惡意軟件正瞄準俄羅斯用戶。
今天的消息是,俄羅斯殺毒軟件公司Doctor Web的研究人員發現了一種新的文件加密惡意軟件,命名為Linux.Encoder.1,這是一種針對Linux系統的惡意軟件。據估計,數十個用戶已經成為這個Linux惡意軟件的受害者。
Doctor Web發表的一篇博文中陳述道:
“Doctor Web提醒用戶注意這個瞄準Linux系統的新型加密惡意軟件。根據該木馬加密文件的目錄判斷,可以得出結論這樣的結論,即網絡罪犯的主要目標是機器上部署了Web服務器的網站管理員。Doctor Web安全研究人員推測,至少數十個用戶已經成為這個木馬的受害者。”
Linux.Encoder.1工作原理
這個Linux惡意軟件使用C語言編寫,并利用了PolarSSL庫,它啟動后作為一個守護進程來加密數據,以及從系統中刪除原始文件。
此外,它需要管理員權限才能工作,一旦它成功感染用戶機器,它將下載包含攻擊者要求的文件,并下載一個包含某個公共RSA密鑰路徑的文件。另外,這個Linux惡意軟件作為一個守護進程而啟動,并且隨后它會刪除原始的文件。其中,RSA密鑰用于存儲用來加密文件的AES密鑰。博文中繼續提到:
“首先,Linux.Encoder.1會加密主目錄中的所有文件,以及與網站管理相關的目錄。然后,該木馬會從啟動目錄開始遞歸地遍歷整個文件系統;下一次,它會從根目錄開始(“/”)。在這種情況下,它僅僅會加密有特定擴展名的文件,且此時的目錄名必須以攻擊者指定的字符串之一開始。此外,為了對每個文件進行加密,該木馬會生成一個AES密鑰。在使用AES-CBC-128對文件加密之后,會在文件尾部加上“.encrypted”擴展名。然后,惡意軟件會將一個帶有勒索贖金要求的README_FOR_DECRYPT.txt文件植入到每一個包含加密文件的目錄中。”為了恢復加密的文件,惡意軟件要求受害者支付1比特幣(按現在的匯率約為380美元)。一旦受害者支付了贖金,惡意程序就會使用一個私有RSA密鑰解密這些文件,其中這個私有RSA密鑰會從加密文件中恢復AES密鑰。
京公網安備 11010502049343號