安全热点

Security

Linux加密勒索软件事件涉及4万个站点并持续上升中

2016-01-08

 俄罗斯杀毒软件公司网站已经对Linux.Encoder.1进行了研究,并且报告了一些更坏的消息,感染数量在持续上升中。这家公司已经发现了这个问题,但现在它拥有更多的相关信息。而之前谈到的已经被感染方,数量已经上万。该公司声称:“攻击方案表明,网络罪犯实际上不需要root权限来让Linux的Web服务器运行或者是运行加密文件”。此外,该木马还对互联网资源拥有者构成了严重威胁,尤其是考虑到许多流行的CMS都有许多未修复的漏洞,以及一些站长要么无视及时更新的必要性,要么就是使用CMS过时的版本。”

 据研究,可能有多达2000个受影响的网站,每一个都受到了不同程度的威胁。就在昨天进行了同样的研究,对“readme_for_decrypt.txt”进行了谷歌搜索,发现其搜索结果的数量现在是40,000。

 上周,该公司警告称,到目前为止已经有数万用户受到感染。感染方有网站管理员的电脑以及那些与其服务的网页相关的服务器。专家表示:“从目录中的木马加密文件来看,可以得出一个结论,网络犯罪分子的主要目标是网站管理员,并且他们的机器上部署有Web服务器。”

 “在一些情况下,当病毒制造者利用CMS Magento的漏洞对Web服务器发动攻击。安全研究人员推测,至少已经有数万的用户成为了这个木马的受害者。”一旦Linux.Encoder.1被携带,它会下载额外的文件,并且抓取RSA密钥。在那之后,事情就会变得非常糟糕。

 该公司补充说到:“管理员权限一旦启动,被称为Once Linux.Encoder.1的木马 ,马上下载文件里包含网络罪犯的命令以及一个带有公共RSA密钥路径的文件。之后,该恶意程序开始作为一个守护进程,并且开始删除原始文件。”随后,RSA密钥将用来存储AES密钥,其受命于木马,用来感染已经被感染的计算机上的文件。该木马通过Linux系统加密所有它存在过的目录中的文件。它会对加密的文件做标记,并设置它的要求。

 “首先,Linux.Encoder.1会加密主目录中的所有文件和以及网站管理下的相关目录。然后木马开始运行时,该木马递会递归遍历整个文件系统的目录;接下来,从一个根目录(“/”)开始。在那个位置,木马会加密特别指定的那些文件,并且只有当一个目录名开始是字符串时,网络犯罪就开始了。”该公司表示。

 “被入侵的文件被加密扩展的恶意软件捆绑附加。在每一个包含加密文件的目录,木马会植入一个带有赎金要求的文件,如果想要他们的文件得以解密,受害者必须以比特币的电子货币形式支付赎金。”所要求的赎金是一个相对较低的比特币总和,大约几百美元。


摘自:上海市计算机病毒防范服务中心--一周新闻选编


返回

友情链接

百度上海市经济和信息化委员会上海市密码管理局上海市网络与信息安全应急管理事务中心易安在线