俄羅斯反病毒公司Doctor Web的研究人員發(fā)現(xiàn)一種新型勒索惡意軟件,該勒索軟件瞄準(zhǔn)了Linux用戶,目前該惡意軟件已經(jīng)感染了數(shù)十個(gè)用戶,
Linux勒索軟件惡意來(lái)襲
。瞄準(zhǔn)Linux用戶的勒索軟件
在網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)中,惡意軟件是一種有利可圖的工具,在每周發(fā)現(xiàn)中安全專家都會(huì)發(fā)現(xiàn)新型變種的惡意軟件。然而,在這一周他們發(fā)現(xiàn)了專業(yè)勒索吸金惡意軟件Cryptowall的新變種Cryptowall 4.0(Freebuf相關(guān)報(bào)道)。根據(jù)他們的消息,Cryptowall 4.0目前正在網(wǎng)絡(luò)上活躍,與此同時(shí)一種離線的惡意軟件正瞄準(zhǔn)俄羅斯用戶。
今天的消息是,俄羅斯殺毒軟件公司Doctor Web的研究人員發(fā)現(xiàn)了一種新的文件加密惡意軟件,命名為L(zhǎng)inux.Encoder.1,這是一種針對(duì)Linux系統(tǒng)的惡意軟件。據(jù)估計(jì),數(shù)十個(gè)用戶已經(jīng)成為這個(gè)Linux惡意軟件的受害者。
Doctor Web發(fā)表的一篇博文中陳述道:
“Doctor Web提醒用戶注意這個(gè)瞄準(zhǔn)Linux系統(tǒng)的新型加密惡意軟件。根據(jù)該木馬加密文件的目錄判斷,可以得出結(jié)論這樣的結(jié)論,即網(wǎng)絡(luò)罪犯的主要目標(biāo)是機(jī)器上部署了Web服務(wù)器的網(wǎng)站管理員,
電腦資料
《Linux勒索軟件惡意來(lái)襲》(http://m.clearvueentertainment.com)。Doctor Web安全研究人員推測(cè),至少數(shù)十個(gè)用戶已經(jīng)成為這個(gè)木馬的受害者。”
Linux.Encoder.1工作原理
這個(gè)Linux惡意軟件使用C語(yǔ)言編寫,并利用了PolarSSL庫(kù),它啟動(dòng)后作為一個(gè)守護(hù)進(jìn)程來(lái)加密數(shù)據(jù),以及從系統(tǒng)中刪除原始文件。
此外,它需要管理員權(quán)限才能工作,一旦它成功感染用戶機(jī)器,它將下載包含攻擊者要求的文件,并下載一個(gè)包含某個(gè)公共RSA密鑰路徑的文件。另外,這個(gè)Linux惡意軟件作為一個(gè)守護(hù)進(jìn)程而啟動(dòng),并且隨后它會(huì)刪除原始的文件。其中,RSA密鑰用于存儲(chǔ)用來(lái)加密文件的AES密鑰。博文中繼續(xù)提到:
“首先,Linux.Encoder.1會(huì)加密主目錄中的所有文件,以及與網(wǎng)站管理相關(guān)的目錄。然后,該木馬會(huì)從啟動(dòng)目錄開始遞歸地遍歷整個(gè)文件系統(tǒng);下一次,它會(huì)從根目錄開始(“/”)。在這種情況下,它僅僅會(huì)加密有特定擴(kuò)展名的文件,且此時(shí)的目錄名必須以攻擊者指定的字符串之一開始。此外,為了對(duì)每個(gè)文件進(jìn)行加密,該木馬會(huì)生成一個(gè)AES密鑰。在使用AES-CBC-128對(duì)文件加密之后,會(huì)在文件尾部加上“.encrypted”擴(kuò)展名。然后,惡意軟件會(huì)將一個(gè)帶有勒索贖金要求的README_FOR_DECRYPT.txt文件植入到每一個(gè)包含加密文件的目錄中。”
為了恢復(fù)加密的文件,惡意軟件要求受害者支付1 (按現(xiàn)在的匯率約為380美元)。一旦受害者支付了贖金,惡意程序就會(huì)使用一個(gè)私有RSA密鑰解密這些文件,其中這個(gè)私有RSA密鑰會(huì)從加密文件中恢復(fù)AES密鑰。