正在开发中的 Linux 勒索软件疑似与 DarkAngels 有关
2022-10-12 19:6:26 Author: FreeBuf(查看原文) 阅读量:14 收藏

Uptycs 威胁研究人员最近发现一个 ELF 勒索软件,它会根据给定的文件夹路径加密 Linux 系统内的文件。根据给出的README说明,其与 DarkAngels 勒索软件的 README 说明完全一致。
DarkAngels 勒索软件】
DarkAngels 勒索软件五月份完成首秀,最初发现是针对 Windows 系统的。本次发现的 ELF 文件可能是最新的,而样本中的暗网链接并不存在,这可能说明针对 Linux 的勒索软件仍在开发中。

技术概述

ELF 版本的勒索软件需要一个文件夹作为进行加密的参数。给出了文件夹路径,勒索软件就会开始加密文件夹中存在的文件,加密后的文件扩展名为 .crypted

DarkAngels 勒索软件】
恶意软件使用 pthread_create 创建新线程,新线程通过调用 start_routine() 函数开始执行。
【创建新线程】
start_routine() 函数中会执行以下步骤来加密目标文件:
打开目标文件并使用 fcntl()对其设置写入锁定
关闭目标文件,然后将其重命名为 *.crypted
打开另一个名为 *.crypted.README_TO_RESTORE的文件,将 README 内容写入其中
打开 *.crypted并使用 lseek 和 write 将加密内容写入其中
将所有加密文件的列表都存储在名为 wrkman.log.0 的文件中
【start_routine 函数】

结论

针对 Linux 系统或跨平台针对多个操作系统的勒索软件屡见不鲜,攻击者正在不断扩展攻击范围。DarkAngels 勒索软件似乎仍处于开发阶段,其又将矛头指向 Linux 系统。

IOC

3b56cea72e8140a7044336933cf382d98dd95c732e5937a0a61e0e7296762c7b
http[:]//qspjx67hi3heumrubqotn26cwimb6vjegiwgvrnpa6zefae2nqs6xqad[.]onion/page/6297aa368ec25

参考来源:

https://www.uptycs.com/blog/another-ransomware-for-linux-likely-in-development

精彩推荐


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651199024&idx=3&sn=6360a9ba14992eb2cebee133725d2f51&chksm=bd1d84bb8a6a0dad7cd75737b2cff7130aec306923dbc677f1975f842c5010f42f527bf714c0#rd
如有侵权请联系:admin#unsafe.sh