卡巴斯基近期發現一隻加密檔案的木馬程式,它以ELF執行檔方式流傳騙取用戶安裝執行,目的在加密Linux環境下的檔案。經過程式碼分析、以及該木馬作者留下的訊息及勒索手法,顯示就是今年十分活躍的RansomExx。

安全廠商卡巴斯基發現,最近十分猖獗的勒索軟體RansomExx,已經開始將目標轉向Linux系統。

卡巴斯基近期發現一隻加密檔案的木馬程式,它以ELF執行檔方式流傳騙取用戶安裝執行,目的在加密Linux環境下的檔案。經過程式碼分析、以及該木馬作者留下的訊息及勒索手法,顯示就是今年十分活躍的RansomExx。

RansomExx是向來鎖定大公司為主,今年來已經有Konica Minolta、美國公家機關最大供應商的Tyler遭到毒手,本周巴西最高上訴法院被駭也是RansomExx所為。

RansomEXX是精準攻擊的勒索軟體,每一隻樣本都會寫入受害目標的名字、而加密檔案副檔名及電子郵件也都是由受害組織名稱組成。根據木馬樣本使用的程式碼組織方式和加密手法判斷,和Windows版RansomEXX來自相同程式碼。卡巴斯基因而將樣本命名為Trojan-Ransom.Linux.Ransomexx。

一旦被用戶開啟,Linux版RansomEXX會產生256-bit AES金鑰來加密所有找得到的檔案,而這把AES金鑰還以一把嵌在木馬程式主體的RSA-4096公鑰加密。它還會每0.18秒重新產生及重加密AES金鑰。

但有趣的是,研究人員發現,該樣本除了留下加密訊息外,一般木馬程式會有的招式,像是反分析、建立C&C連線、終止行程執行等都沒有。另外,如果受害單位付了贖金,還會同時拿到Linux及Windows版解密金鑰。

Bleeping Computer引述安全廠商Emsisoft報導,Linux版RansomEXX可能今年7月、甚至更早便開始流傳。


Advertisement

更多 iThome相關內容