俄罗斯反病毒公司Doctor Web的研究人员发现一种新型勒索恶意软件,该勒索软件瞄准了Linux用户,目前该恶意软件已经感染了数十个用户。

瞄准Linux用户的勒索软件

在网络犯罪生态系统中,恶意软件是一种有利可图的工具,在每周发现中安全专家都会发现新型变种的恶意软件。然而,在这一周他们发现了专业勒索吸金恶意软件Cryptowall的新变种Cryptowall 4.0。根据他们的消息,Cryptowall 4.0目前正在网络上活跃,与此同时一种离线的恶意软件正瞄准俄罗斯用户。

今天的消息是,俄罗斯杀毒软件公司Doctor Web的研究人员发现了一种新的文件加密恶意软件,命名为Linux.Encoder.1,这是一种针对Linux系统的恶意软件。据估计,数十个用户已经成为这个Linux恶意软件的受害者。

Doctor Web发表的一篇博文中陈述道:

“Doctor Web提醒用户注意这个瞄准Linux系统的新型加密恶意软件。根据该木马加密文件的目录判断,可以得出结论这样的结论,即网络罪犯的主要目标是机器上部署了Web服务器的网站管理员。Doctor Web安全研究人员推测,至少数十个用户已经成为这个木马的受害者。”

Linux.Encoder.1工作原理

这个Linux恶意软件使用C语言编写,并利用了PolarSSL库,它启动后作为一个守护进程来加密数据,以及从系统中删除原始文件。

此外,它需要管理员权限才能工作,一旦它成功感染用户机器,它将下载包含攻击者要求的文件,并下载一个包含某个公共RSA密钥路径的文件。另外,这个Linux恶意软件作为一个守护进程而启动,并且随后它会删除原始的文件。其中,RSA密钥用于存储用来加密文件的AES密钥。博文中继续提到:

“首先,Linux.Encoder.1会加密主目录中的所有文件,以及与网站管理相关的目录。然后,该木马会从启动目录开始递归地遍历整个文件系统;下一次,它会从根目录开始(“/”)。在这种情况下,它仅仅会加密有特定扩展名的文件,且此时的目录名必须以攻击者指定的字符串之一开始。此外,为了对每个文件进行加密,该木马会生成一个AES密钥。在使用AES-CBC-128对文件加密之后,会在文件尾部加上“.encrypted”扩展名。然后,恶意软件会将一个带有勒索赎金要求的README_FOR_DECRYPT.txt文件植入到每一个包含加密文件的目录中。”

为了恢复加密的文件,恶意软件要求受害者支付1比特币(按现在的汇率约为380美元)。一旦受害者支付了赎金,恶意程序就会使用一个私有RSA密钥解密这些文件,其中这个私有RSA密钥会从加密文件中恢复AES密钥。

作者:JackFree

来源:51CTO

新型Linux勒索软件恶意来袭相关推荐

  1. java实现洋葱路由_警惕新型“洋葱”勒索软件

    加密勒索软件是一种加密用户数据并以此勒索解密赎金的恶意软件,会造成巨大金钱损失或重要敏感数据丢失.有数据指出,在加密勒索软件CryptoLocker刚刚兴起的100天内,它至少入侵了20万台电脑,其诈 ...

  2. Erebus以Linux勒索软件的方式重出江湖,勒索韩国公司100万美元

    本文讲的是Erebus以Linux勒索软件的方式重出江湖,勒索韩国公司100万美元, 6月10日,韩国网络托管公司NAYANA被Erebus 勒索软件(由趋势科技公司检测为RANSOM_ELFEREB ...

  3. 日益趋增的Linux勒索软件

    概述 虽然2021年的一份报告发现,超过90%的勒索软件攻击都针对Windows,但Linux勒索软件的兴起令人担忧. 2021年最活跃的勒索软件家族 2021勒索软件的格式 尽管Windows在桌面 ...

  4. Linux勒索软件,[图]发现针对Linux服务器和代码库的勒索软件

    在感染目标主机并获得root级别权限之后,该恶意程序对对Linux网页服务配置或者代码研发环境配置文件发起攻击,攻击的路径包含/home, /root, /var/lib/mysql, /var/ww ...

  5. 又来了!针对VMware ESXi的新型勒索软件出现

    近日,一种名为"Cheers"的新型勒索软件悄然出现在网络犯罪领域.Cheers是一种基于Linux 的勒索软件,主要针对 VMware ESXi平台,目前已有多家使用VMware ...

  6. 安全预警:勒索软件正成为制马人的新方向

    360手机卫士 · 2016/05/17 15:12 0x00 引言 4月份360 移动安全团队发布的<Android勒索软件研究报告>详细揭露了目前国内Android勒索软件黑色产业链情 ...

  7. 身为网络安全的,连BlackMatter勒索软件都不知道,说出去丢不丢人啊

    说明: BlackMatter勒索病毒是一款基于RAAS模式的新型勒索病毒,该勒索病毒黑客组织对外宣称,已经整合了DarkSide.REvil和LockBit等勒索病毒的最佳功能特点. 一个名为Bla ...

  8. 勒索软件致重要文件化为乌有?不重视备份将后悔莫及!

    北京时间5月12日晚,新型"蠕虫式"勒索软件"永恒之蓝"在全球爆发,攻击各国的政府和公共网络系统,众多学校.医院受到严重侵害.我国不少高校的教育网络成为了黑客勒 ...

  9. 美国燃油管道系统Colonial Pipeline遭DarkSide勒索软件攻击说明

    事件简介 美国最大的燃油管道系统Colonial Pipeline于5月7日遭到攻击,被迫暂停所有管道作业,由于Colonial Pipeline负责美国东岸多达45%的燃料供应,因攻击事件而暂停所有 ...

最新文章

  1. sklearn中train_test_split函数中的random_state有什么用?
  2. 七夕节,阿里云AI发女朋友了
  3. 物理化学 化学 动力学(下)
  4. 过 DNF TP 驱动保护(一)
  5. python求两数之和的命令_数学建模:科学计算Python2小时-Python基础
  6. Webstorm的常用快捷键
  7. python sys模块详解_python之sys模块详解
  8. 一张图搞懂 Redis 缓存雪崩、缓存穿透、缓存击穿
  9. 大学二年级各科的学习成绩
  10. 解决vmware“二进制转换与此平台长模式不兼容.....”的问题
  11. Java 如何使用protobuf
  12. Red Hat Enterprise Linux 7.5安装盘内容做本地YUM源
  13. Android实现圆角和圆形
  14. CorelDRAWX4的VBA插件开发(十三)一键转曲(转全部页面)
  15. 计算机 本科专业 课程
  16. 【openGL2021版】obj模型
  17. 驱动蜂鸣器电路-可参考
  18. 常见泰勒展开公式及复杂泰勒展开求法
  19. 有监督学习-逻辑回归sklearn应用举例
  20. 在多级NAT上做回程静态路由——实现访问inside内的主机

热门文章

  1. i.MX6ULL驱动开发 | 33 - NXP原厂网络设备驱动浅读(LAN8720 PHY)
  2. MTK充电温度保护机制
  3. 解决在安装Autokroma Influx插件的 Premiere Pro for Mac m1电脑上,导入Flac/MKV/FLV文件后,拖入音轨无声音、导入失败等一系列问题?
  4. 排水管网GIS地理信息系统-排水监测预警
  5. vue学习(八)vue2.0路由vue-router的简单入门使用
  6. 搞清楚字符编码06-万国码[2]
  7. jquery追加html及移除,jQuery 添加元素和删除元素的方法
  8. jquery移除元素同时销毁事件
  9. 从实验开始零基础学网络路由交换 三十七,配置NAPT
  10. 程序员聊天必备表情包,收好不谢