压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

前言

近日，國外安全研究人員爆光了一個Linux平臺上疑似Sodinokibi勒索病毒家族最新樣本，如下所示：

Sodinokibi(REvil)勒索病毒的詳細分析以及資料可以參考筆者之前的一些文章，這款勒索病毒黑客組織此前一直以Windows平臺為主要的攻擊目標，目前首次發現這款勒索病毒Linux平臺上的最新變種樣本，未來會不會有相關的安全事件爆發，需要持續關注。

分析

筆者從一個惡意軟件平臺上下載到病毒樣本，病毒運行之后，如下所示：

樣本的基礎結構如下所示：

獲取勒索病毒中內置的配置文件信息，如下所示：

可以發現這個配置文件信息內容與此前Sodinokibi勒索病毒的非常相似，獲取到的配置信息，如下所示：

生成文件加密后綴名qoxaq，如下所示：

生成勒索提示信息文件內容，如下所示：

調用esxcli命令關閉虛擬機進程，如下所示：

相關的命令行，如下：

esxcli —formatter=csv —format-
param=fields==”WorldID,DisplayName” vm
process list | awk -F “\”,\”“ ‘,27h,’{system(“esxcli vm process kill —type=force —world-id=” $1)}

遍歷目錄，加密文件，如下所示：

加密文件的過程，如下所示：

生成的勒索提示信息文件，如下所示：

加密完成之后，生成加密完成提示信息，顯示一共有多少個文件被加密了，如下所示：

通過勒索病毒的代碼特征和行為特征，國外安全研究人員將這款勒索病毒歸因為Sodinokibi勒索病毒的家族，筆者在訪問這款勒索病毒解密網站的時候出現在問題，可能是這勒索病毒黑客組織正在維護解密網站服務器的后臺。

筆者之前發現DarkSide這款勒索病毒針對Linux平臺VMware ESXI的攻擊，最近一款新型的勒索病毒DarkRadiation也是專門針對各種Linux平臺進行攻擊，筆者后面會給大家進行詳細分析介紹，現在Sodinokibi勒索病毒也開始針對Linux平臺進行攻擊了，可以預測未來可能會有更多的勒索病毒黑客組織將目標轉向Linux平臺，擴大攻擊平臺的范圍，獲取更多的利益。

總結

勒索病毒黑客組織一直在更新，從來沒有停止過發起新的攻擊，尋找新的目標，未來幾年勒索攻擊仍然是全球最大的安全威脅，筆者總結出一些勒索攻擊發展的幾個趨勢，供大家參考：

(1)”雙重”、”三重”勒索模式逐漸變多，也許會有其他更多的模式出現。
(2)定向攻擊勒索，采用APT攻擊方式，為了利益最大化，會選擇性的攻擊行業“頭部”大企業。
(3)基于RAAS模式的新型勒索病毒組織會越來越多，同時核心運營團隊會逐步形成“小圈子”模式，降低風險，黑客團隊會向“精英化”團伙運營模式發展。
(4)通過各種不同的惡意軟件分發傳播勒索病毒的形式會越來越多。
(5)勒索攻擊針對的平臺會越來越多，未來針對Linux類系統的云計算平臺勒索攻擊會增多。
(6)勒索攻擊的支付方式可能會變化，除了BTC，黑客還會選擇各多其他虛擬貨幣或其他方式支付。
(7)勒索攻擊，企業數據是關鍵，竊取企業的數據，已經成了勒索攻擊一個環節。

來源：安全客