安全性企业 Kaspersky 日前看到了一个新的文档加密木马,它是 ELF 可执行程序,致力于对根据 Linux 的电脑操作系统电子计算机上的信息开展加密。
Kaspersky 通过逐步剖析,发觉碰到的实际上是已经知道勒索软件 RansomEXX 的 Linux 搭建版本。
RansomEXX 是今年初逐渐活泼的一种规模性的勒索软件,关键对于有实力付款超大金额赎金的总体目标,其进攻目标包含得克萨斯州国家交通部 TxDOT 和柯尼卡美能达 Konica Minolta,政府部门承包单位 Tyler Technologies,多伦多市智能公交和墨西哥法院系统。
RansomEXX 身后的经营者建立 Linux 版本可能是充分考虑今日很多公司的内部结构系统软件运作在 Linux 而不是 Windows 上。
技术性表明
Kaspersky 企业碰到的实例 aa1ddf0c8312349be614ff43e80a262f 是 64 位 ELF 可执行程序。该木马应用开源系统库 mbedtls 中的函数公式完成其加密计划方案。
运行后,该木马会形成一个 256 位的密钥,并运用该密钥加密进攻方向的全部文档。这种文档可以应用 ECB 方式下的 AES 分类密钥浏览,AES 密钥根据置入在木马程序流程行为主体中的公共性 RSA-4096 密钥开展加密,并额外到每一个加密文档中。除此之外,该木马还会继续运行一个进程,每 0.18 秒再次转化成并加密 AES 密钥,而通过计算具体是每秒钟转变一次。
该样版现阶段检验到的危害仅包含加密文档和留有赎金纪录。
Kaspersky 企业比照了 Windows 系统软件上的 RansomEXX 和新木马对 AES 密钥加密的全过程。左边是 ELF 样版 aa1ddf0c8312349be614ff43e80a262f; 右边是用以 TxDOT 进攻的 PE 样版 fcd21c6fca3b9378961aa1865bee7ecb。虽然二者有不一样提升选择项且对于不一样服务平台c语言编译器搭建,但同质性十分明显。此外,二者的“犯案技巧”——编码合理布局、赎金纪录文字、文章标题用语这些同样。
文中转自OSCHINA。
本文文章标题:Linux 更安全性?规模性 Windows 勒索软件移殖至 Linux
文中详细地址:https://www.oschina.net/news/120117/windows-ransomexx-ported-to-linux