俄羅斯反病毒公司Doctor Web的研究人員發(fā)現(xiàn)一種新型勒索惡意軟件，該勒索軟件瞄準了Linux用戶，目前該惡意軟件已經(jīng)感染了數(shù)十個用戶。

[[155388]]

瞄準Linux用戶的勒索軟件

在網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)中，惡意軟件是一種有利可圖的工具，在每周發(fā)現(xiàn)中安全專家都會發(fā)現(xiàn)新型變種的惡意軟件。然而，在這一周他們發(fā)現(xiàn)了專業(yè)勒索吸金惡意軟件Cryptowall的新變種Cryptowall 4.0。根據(jù)他們的消息，Cryptowall 4.0目前正在網(wǎng)絡(luò)上活躍，與此同時一種離線的惡意軟件正瞄準俄羅斯用戶。

今天的消息是，俄羅斯殺毒軟件公司Doctor Web的研究人員發(fā)現(xiàn)了一種新的文件加密惡意軟件，命名為Linux.Encoder.1，這是一種針對Linux系統(tǒng)的惡意軟件。據(jù)估計，數(shù)十個用戶已經(jīng)成為這個Linux惡意軟件的受害者。

Doctor Web發(fā)表的一篇博文中陳述道：

“Doctor Web提醒用戶注意這個瞄準Linux系統(tǒng)的新型加密惡意軟件。根據(jù)該木馬加密文件的目錄判斷，可以得出結(jié)論這樣的結(jié)論，即網(wǎng)絡(luò)罪犯的主要目標是機器上部署了Web服務(wù)器的網(wǎng)站管理員。Doctor Web安全研究人員推測，至少數(shù)十個用戶已經(jīng)成為這個木馬的受害者。”

Linux.Encoder.1工作原理

這個Linux惡意軟件使用C語言編寫，并利用了PolarSSL庫，它啟動后作為一個守護進程來加密數(shù)據(jù)，以及從系統(tǒng)中刪除原始文件。

此外，它需要管理員權(quán)限才能工作，一旦它成功感染用戶機器，它將下載包含攻擊者要求的文件，并下載一個包含某個公共RSA密鑰路徑的文件。另外，這個Linux惡意軟件作為一個守護進程而啟動，并且隨后它會刪除原始的文件。其中，RSA密鑰用于存儲用來加密文件的AES密鑰。博文中繼續(xù)提到：

“首先，Linux.Encoder.1會加密主目錄中的所有文件，以及與網(wǎng)站管理相關(guān)的目錄。然后，該木馬會從啟動目錄開始遞歸地遍歷整個文件系統(tǒng);下一次，它會從根目錄開始(“/”)。在這種情況下，它僅僅會加密有特定擴展名的文件，且此時的目錄名必須以攻擊者指定的字符串之一開始。此外，為了對每個文件進行加密，該木馬會生成一個AES密鑰。在使用AES-CBC-128對文件加密之后，會在文件尾部加上“.encrypted”擴展名。然后，惡意軟件會將一個帶有勒索贖金要求的README_FOR_DECRYPT.txt文件植入到每一個包含加密文件的目錄中。”

為了恢復(fù)加密的文件，惡意軟件要求受害者支付1比特幣(按現(xiàn)在的匯率約為380美元)。一旦受害者支付了贖金，惡意程序就會使用一個私有RSA密鑰解密這些文件，其中這個私有RSA密鑰會從加密文件中恢復(fù)AES密鑰。