安全公司 Kaspersky 日前发现了一个新的文件加密木马,它是 ELF 可执行文件,旨在对基于 Linux 的操作系统计算机上的数据进行加密。
Kaspersky 经过初步分析,发现遇到的实际是已知勒索软件 RansomEXX 的 Linux 构建版本。
RansomEXX 是年初开始活跃的一种大规模的勒索软件,主要针对有能力支付大额赎金的目标,其攻击对象包括德克萨斯州交通运输部 TxDOT 和柯尼卡美能达 Konica Minolta,政府承包商 Tyler Technologies,蒙特利尔公交系统和巴西法院系统。
RansomEXX 背后的运营者创建 Linux 版本估计是考虑到今天许多企业的内部系统运行在 Linux 而不是 Windows 上。
技术说明
Kaspersky 公司遇到的示例 aa1ddf0c8312349be614ff43e80a262f 是 64 位 ELF 可执行文件。该木马使用开源库 mbedtls 中的函数实现其加密方案。
启动后,该木马会生成一个 256 位的密钥,并使用该密钥加密攻击目标的所有文件。这些文件可以使用 ECB 模式下的 AES 分组密钥访问,AES 密钥通过嵌入在木马程序主体中的公共 RSA-4096 密钥进行加密,并附加到每个加密文件中。此外,该木马还会启动一个线程,每 0.18 秒重新生成并加密 AES 密钥,而经过测算实际是每秒变化一次。
该样本目前检测到的威胁仅包括加密文件和留下赎金记录。
Kaspersky 公司对比了 Windows 系统上的 RansomEXX 和新木马对 AES 密钥加密的过程。左侧是 ELF 样本 aa1ddf0c8312349be614ff43e80a262f; 右侧是用于 TxDOT 攻击的 PE 样本 fcd21c6fca3b9378961aa1865bee7ecb。尽管二者有不同优化选项且针对不同平台编译器构建,但相似性非常明显。另外,二者的“作案手法”——代码布局、赎金记录文本、标题措辞等等相同。
本文转自OSCHINA。
本文标题:Linux 更安全?大规模 Windows 勒索软件移植至 Linux
本文地址:https://www.oschina.net/news/120117/windows-ransomexx-ported-to-linux
前几天,新闻联播才完成了一波全民的区块链硬科普,掀起了国家级的区块链学习浪...
专家表示,作为数字经济时代的一种新型支付方式,数字人民币潜力巨大。 碰一下,...
从2020年11月到2021年2月,参与技术支持诈骗的威胁分子一直在包括PornHub在内的...
2020年,疫情这次黑天鹅事件,对全球政治、经济、生活等方方面面都带来了深刻的...
从支持人工智能(AI)的解决方案的功能到通过智能设备提高移动性,互联世界的概念...
近日,360集团首席安全官杜跃进博士受邀参加第35次全国计算机安全学术交流会,并...
根据国家标准化委员会2018年第9号中国国家标准公告,《物联网 系统评价指标体系...
10月24日,一年一度的白帽黑客对决盛会GeekPwn2020国际安全极客大赛在上海举办,...
作为新兴技术,数字货币对提高金融效率、促进跨境支付以及调整国际货币体系等领...
图片来自 Pexels 这个网络中所有人的上网内容我都看的清清楚楚,是不是很可怕? ...