安全公司卡巴斯基发现了一种新的文件加密木马,这是一种ELF可执行文件,旨在加密基于Linux操作系统的计算机上的数据。卡巴斯基的初步分析显示,遇到的实际上是已知勒索软件RansomEXX的Linux版本。RansomEXX是一种大型勒索软件,自年初以来一直活跃,主要针对有能力支付大笔赎金的目标,包括德克萨斯州交通部TxDOT和柯尼卡美能达、政府承包商TylerTechnologies、蒙特利尔交通系统和巴西法院系统。考虑到当今许多企业在Linux而不是Windows上运行其内部系统,RansomEXX背后的运营商大概创建了Linux版本。卡巴斯基公司遇到的例子aa1ddf0c8312349be614ff43e80a262f是一个64位的ELF可执行文件。该木马使用开源库mbedtls中的函数实现其加密方案。启动时,木马会生成一个256位密钥并使用它来加密目标的所有文件。可以使用ECB模式下的AES块密钥访问这些文件,该密钥使用木马主体中嵌入的公共RSA-4096密钥加密并附加到每个加密文件。此外,木马会启动一个线程,每0.18秒重新生成和加密AES密钥,该线程被计算为每秒实际更改一次。该样本目前检测到的威胁仅包括加密文件和留下勒索字条。卡巴斯基比较了Windows系统上RansomEXX和新木马之间的AES密钥加密。左边是ELF样本aa1ddf0c8312349be614ff43e80a262f;右边是用于TxDOT攻击的PE样本fcd21c6fca3b9378961aa1865bee7ecb。尽管两者具有不同的优化选项并且针对不同的平台编译器构建,但相似之处是惊人的。此外,两者的“作案手法”——代码布局、赎金票据文本、标题措辞等都是相同的。本文转自OSCHINA。本文标题:Linux更安全?大型Windows勒索软件移植到Linux
