Sodinokibi(REvil)勒索病毒最新变种攻击Linux平台
source link: https://www.anquanke.com/post/id/245797
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
Sodinokibi(REvil)勒索病毒最新变种攻击Linux平台
阅读量 283829 |
发布时间:2021-07-01 12:00:20robots
近日,国外安全研究人员爆光了一个Linux平台上疑似Sodinokibi勒索病毒家族最新样本,如下所示:
Sodinokibi(REvil)勒索病毒的详细分析以及资料可以参考笔者之前的一些文章,这款勒索病毒黑客组织此前一直以Windows平台为主要的攻击目标,目前首次发现这款勒索病毒Linux平台上的最新变种样本,未来会不会有相关的安全事件爆发,需要持续关注。
笔者从一个恶意软件平台上下载到病毒样本,病毒运行之后,如下所示:
样本的基础结构如下所示:
获取勒索病毒中内置的配置文件信息,如下所示:
可以发现这个配置文件信息内容与此前Sodinokibi勒索病毒的非常相似,获取到的配置信息,如下所示:
生成文件加密后缀名qoxaq,如下所示:
生成勒索提示信息文件内容,如下所示:
调用esxcli命令关闭虚拟机进程,如下所示:
相关的命令行,如下:
esxcli —formatter=csv —format-
param=fields==”WorldID,DisplayName” vm
process list | awk -F “\”,\”“ ‘,27h,’{system(“esxcli vm process kill —type=force —world-id=” $1)}
遍历目录,加密文件,如下所示:
加密文件的过程,如下所示:
生成的勒索提示信息文件,如下所示:
加密完成之后,生成加密完成提示信息,显示一共有多少个文件被加密了,如下所示:
通过勒索病毒的代码特征和行为特征,国外安全研究人员将这款勒索病毒归因为Sodinokibi勒索病毒的家族,笔者在访问这款勒索病毒解密网站的时候出现在问题,可能是这勒索病毒黑客组织正在维护解密网站服务器的后台。
笔者之前发现DarkSide这款勒索病毒针对Linux平台VMware ESXI的攻击,最近一款新型的勒索病毒DarkRadiation也是专门针对各种Linux平台进行攻击,笔者后面会给大家进行详细分析介绍,现在Sodinokibi勒索病毒也开始针对Linux平台进行攻击了,可以预测未来可能会有更多的勒索病毒黑客组织将目标转向Linux平台,扩大攻击平台的范围,获取更多的利益。
勒索病毒黑客组织一直在更新,从来没有停止过发起新的攻击,寻找新的目标,未来几年勒索攻击仍然是全球最大的安全威胁,笔者总结出一些勒索攻击发展的几个趋势,供大家参考:
(1)”双重”、”三重”勒索模式逐渐变多,也许会有其他更多的模式出现。
(2)定向攻击勒索,采用APT攻击方式,为了利益最大化,会选择性的攻击行业“头部”大企业。
(3)基于RAAS模式的新型勒索病毒组织会越来越多,同时核心运营团队会逐步形成“小圈子”模式,降低风险,黑客团队会向“精英化”团伙运营模式发展。
(4)通过各种不同的恶意软件分发传播勒索病毒的形式会越来越多。
(5)勒索攻击针对的平台会越来越多,未来针对Linux类系统的云计算平台勒索攻击会增多。
(6)勒索攻击的支付方式可能会变化,除了BTC,黑客还会选择各多其他虚拟货币或其他方式支付。
(7)勒索攻击,企业数据是关键,窃取企业的数据,已经成了勒索攻击一个环节。
Recommend
-
48
近日,深信服安全团队在国内跟踪发现了一新型的病毒变种,确认为Matrix勒索病毒PRCP变种,目前已有政企单位感染案例,该勒索变种采用RSA+AES高强度加密算法,将系统中的大部分文档文件加密为PRCP后缀名的文件,然后对用户进行勒索。目前无...
-
13
近日,亚信安全截获SODINOKIBI勒索病毒最新变种文件,与以往不同的是,本次截获的勒索病毒的payload是一个DLL文件(以往样本是EXE可执行文件),通过进程注入方式加载,从而逃避检测。其首先通过.net外壳程序启动一个正常的 vbc.exe进程,...
-
18
时间总是过得飞快,圣诞节已悄悄溜走,我们即将迎来新年。2020年将要开启21世纪新的十年 – 2020年代。节日里在人们充满欢声笑语的同时,往往计算机病毒的活跃度也会随之上升。回顾2019年, 勒索病毒和挖矿病毒更是牢牢占据在计算机流行病毒...
-
9
首页 > 文章详情 数说新冠疫情丨英国变种病毒引欧洲股市剧震,至少28国对英国封锁 格隆汇学堂 8分钟前 国际动态:截至2020年12月22日08:55,中国以外累计确诊新...
-
9
← 走进考古:北欧大主教棺中多出一具尸体之谜五角大楼证实:最近媒体上很火的不明飞行物视频确实来自海军 →
-
12
针对Sodinokibi黑客组织供应链攻击Kaseya VSA的分析溯源 阅读量 35754
-
2
勒索病毒Coffee来袭:定向攻击科研院所,蠕虫性质隐含爆发风险 0评论 2022-02-14 15:14:08 来源:金融界资讯 ...
-
4
超七成企业遭受勒索病毒攻击,如何保护企业数据?-51CTO.COM 超七成企业遭受勒索病毒攻击,如何保护企业数据? 作者:趣味科技 2022-03-08 23:16:30 当数据成为现代企业最具价值的资产,对生...
-
4
勒索病毒规模攻击用友畅捷通用户,中毒终端超2000台仍在上升 作者:经济观察报 2022-08-30 21:04:40 8月30日凌晨,针对用友畅捷通T+软件客户遭受勒索病毒攻击一事,畅捷通方面在官方微信公号“畅捷通”发布了相关说...
-
7
Insomniac Games遭勒索病毒攻击,《漫威金刚狼》相关数据被曝光
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK