RansomEXX木马出现Linux变种

2020年11月16日, 国内信息网络安全公司江民报道，研究人员近期发现有个新的文件加密木马，可以加密基于Linux 的操作系统的设备上的数据。经过初步分析，研究人员发现该木马是知名勒索软件RansomEXX 的Linux 版本。该恶意软件以攻击大型组织而知名，在今年早期最为活跃。 RansomEXX 恶意软件的每个样本中都含有硬编码的受害者组织名。此外，加密的文件扩展名和联系人邮箱地址也都使用了受害者的名字。研究人员分析的样本是有个64位的ELF 可执行文件。该木马用来自mbedtls开源库的函数实现了其加密方案。启动后，木马会生成一个256 位的密钥，并用该密钥使用ECB模式的AES加密来加密所有的受害者文件。AES 密钥会被一个嵌入了木马主体和每个加密文件中的4096 位的RSA 公钥加密。 此外，恶意软件还会启动一个线程每0.18秒就重新生成和重新加密AES 密钥。但是从实现的情况来看，密钥每秒钟才会发生变化。除了加密文件和留下勒索信息外，恶意软件样本中没有其他木马中使用的功能，比如没有C2 通信、没有运行进程终止、没有反分析技术等。 针对该类恶意程序所造成的危害，建议用户不要运行未知来源的程序。同时提高安全意识，安装防病毒软件，及时为操作系统、常用软件等打好补丁，以免受到该恶意程序的危害。