Kaspersky研究人员近期发现有个新的文件加密木马，可以加密基于Linux 的操作系统的设备上的数据。经过初步分析，研究人员发现该木马是知名勒索软件RansomEXX 的Linux 版本。该恶意软件以攻击大型组织而知名，在今年早期最为活跃。

RansomEXX 恶意软件的每个样本中都含有硬编码的受害者组织名。此外，加密的文件扩展名和联系人邮箱地址也都使用了受害者的名字。

近几个月来，许多知名公司都成为了该恶意软件的受害者，包括德克萨斯州交通部（TxDOT）和柯尼卡-米诺尔塔（Konica Minolta）。

技术细节

研究人员分析的样本是有个64位的ELF 可执行文件。该木马用来自mbedtls开源库的函数实现了其加密方案。

启动后，木马会生成一个256 位的密钥，并用该密钥使用ECB模式的AES加密来加密所有的受害者文件。AES 密钥会被一个嵌入了木马主体和每个加密文件中的4096 位的RSA 公钥加密。

此外，恶意软件还会启动一个线程每0.18秒就重新生成和重新加密AES 密钥。但是从实现的情况来看，密钥每秒钟才会发生变化。

除了加密文件和留下勒索信息外，恶意软件样本中没有其他木马中使用的功能，比如没有C2 通信、没有运行进程终止、没有反分析技术等。

文件加密过程伪代码片段，变量和函数名都保存在调试信息中，必须与源代码相一致

但是ELF 二进制文件中包含一些调试信息，包括函数名、全局变量和恶意软件开发者使用的一些源代码文件。

嵌入在木马中的源文件名

木马在Kaspersky Linux沙箱中的执行日志

和RansomEXX Windows版本的相似之处

虽然之前发现的RansomEXX 木马 PE版本使用WinAPI，但是木马代码的组织以及使用mbedtls 库中的特定函数表明ELF文件和PE 文件都来自相同的源代码。

下图是加密AES 密钥的过程的比较。左侧是ELF样本aa1ddf0c8312349be614ff43e80a262f，右侧是TxDOT 攻击中使用的PE 样本fcd21c6fca3b9378961aa1865bee7ecb。

虽然使用了不同的优化选择和平台以及不同的编译器，但是相似性还是非常明显的。加密文件内容的过程，以及代码的整个布局都非常相似。

此外，勒索信息也是相同的，在标题和类似字段中都有受害者的名字。

巴西的攻击实例

据媒体报道，巴西一家政府机构最近受到了定向勒索木马的攻击。从勒索信息来看，几乎与上面的样本完全相同。

样本aa1ddf0c8312349be614ff43e80a262f 的勒索信息

最近巴西攻击活动中的勒索信息

参考及来源：https://securelist.com/ransomexx-trojan-attacks-linux-systems/99279/