澳门新葡亰平台官网首个攻击该Mac OS系统的恶意软件——KeRanger

by admin on 2020年5月6日

安全公司对一种新的勒索软件发出了警告,称它针对了Linux操作系统。该勒索软件被称为Linux.Encoder.1,主要瞄准运行Linux的Web服务器,加密内容后索要1BTC。攻击者利用了
Magento CMS 的一个漏洞感
染系统。Magneto被很多电子商务网站使用,它的一个高危漏洞在10月31日公开。该勒索软件需要管理员权限才能执行,运行之后它会加密主目录和所有
与网站相关的文件。它会在加密的每个目录下丢下一个文本文件
README_FOR_DECRYPT.txt,列出了支付方式和一个基于Tor隐藏服务的网站。  
               

首个攻击该Mac OS系统的恶意软件——KeRanger

曾几何时,苹果操作系统一度被人认为是最安全的操作系统。然而近几年,针对苹果系统的攻击日益增多,影响范围也越来越大。无独有偶,近日,苹果Mac 
OS
X操作系统也沦陷了,研究机构赛门铁克揭示了首个攻击该操作系统的恶意软件——KeRanger。

KeRanger(OSX.Keranger)通过已经遭受感染的Transmission 
BitTorrent客户端的安装程序进行迅速传播。在2016年3月4日和5日下载Transmission的Mac
OS  X用户极有可能面临该恶意软件的威胁。

虽然KeRanger是针对Mac OS 
X操作系统而设计的,但其表现行为与基于Windows操作系统的勒索软件并无多大差别,特别是TeslaCrypt(Trojan.Cryptolocker.N)。用户一旦安装该恶意软件,KeRanger将会搜索大约300个不同的文件类型,并对其发现的任意文件进行加密。随后,恶意软件将会弹出要求受害者支付1比特币赎金的勒索信息(大约为408美元)。受害者需要通过匿名Tor网络的网站完成赎金支付。

KeRanger使用有效的Mac开发者ID进行签名,这意味着恶意软件能够绕开OS 
X用于锁住不可信来源软件的Gatekeeper功能。现在,苹果公司已经撤销了KeRanger的开发者ID。

虽然KeRanger仅通过遭受感染的软件进行了快速的传播,但Mac用户亦不能放松警惕,攻击者可能会试图寻找其他的传播渠道。除此之外,这些成功的恶意攻击可能会刺激其他不法组织创建Mac 
OS X勒索软件的变体。

如何防御勒索软件?

对于勒索软件这种流氓行径只能说防胜于治,下面是企业可采用的防御措施:


定期备份电脑中的文件。如果用户的电脑确实被勒索软件感染,在移除恶意软件后,文件便可恢复。

• 更新使用最新版本的安全软件,避免遭受新型恶意软件的攻击。

• 升级操作系统和其他软件。软件更新一般包含修复最新发现的安全漏洞补。

首个苹果勒索软件有漏洞 无需付赎金也可解密文件

被KeRanger加密了计算机文件的用户可以松口气了,无需给勒索者付赎金,也可以恢复文件了。

苹果系统的流行下载软件Transmission客户端中发现的勒索软件KeRanger,是基于另一个专门针对Linux服务器的勒索软件Linux.Encoder改装的。而后者,则在加密过程中存在漏洞。

比特梵德的研究人员通过分析发现,KeRanger与Linux.Encoder的第四个版本除了相关编译器和定位苹果备份软件的路径不同以外,代码中所有的其他功能完成一样,因此,存在的漏洞也一样。

据Transmission的人员估计,受影响的客户端被下载数量约为6500次,但实际被感染的苹果用户应该很少,因为这个恶意软件有三天的潜伏期,而且很快被安全人员发现并做了更新。

比特梵德表示,目前尚未发布解密工具,但如果有足够多的需求他们会考虑开发这个工具。

令人费解的是,为什么攻击者会如此费力的盗取苹果开发商的合法证书,来入侵一个受信任软件的网站,只为分发一个有漏洞的赎金软件?

不管原因是什么,其他的犯罪分子者很可能会利用这个首次感染苹果系统的勒索软件作恶,但他们可不会犯同样的错误了。

via Solidot

俄罗斯杀软厂商Dr.Web近日发现了Linux平台新型木马Linux.Ekocms.1。目前从截获的木马样本来看,该木马能够截屏和录制音频文件,并发送给远程服务器。

澳门新葡亰平台官网 1

新型木马可以截屏作业

该新型木马Linux.Ekocms于数日前被发现,Linux.Ekocms目前主要威胁运行Linux系统的计算机用户,在去年恶意勒索程序Linux.Encoder.1以及Linux
XOR DDoS已经造成了不少问题。

Linux.Encoder,主要针对寄存网站或者代码仓库的网页开发环境。一旦受害人的Linux机器里运行Linux.Encoder.1。并执行成功,这款木马会在/home、/root、/var/lib/mysql这几个目录下进行遍历文件,试图加密里面的文件内容。如Windows下的勒索软件一样,它会使用AES(某对称密钥加密算法)对这些文件内容进行加密,这期间并不会对系统资源占用过大。

这个AES对称密钥会用RSA(某非对称加密算法)加密,然后用AES初始化的向量去加密文件。一旦这些文件被加密,木马会尝试蔓延到系统根目录。它只需要跳过重要的系统文件,所以加密后的操作系统是能够正常启动的。后来安全研究人员发现了一个漏洞,可以恢复被加密的文件,而且不需要支付赎金。通过对代码的分析可知该勒索软件需要获得root级别的权限。

Linux XOR
DDoS主要通过感染32位和64位的Linux系统,通过安装rootkit来隐藏自身,并可通过DDoS攻击形成僵尸网络。

根据Dr.Web的描述,这种新型木马属于间谍软件家族的一员,同时这个木马能在被感染电脑中进行截屏作业,每隔30秒进行一次,然后发给远程服务器。这些截图都先保存在两个相同的文件夹中,但如果这些文件夹不存在,木马会在需要的时候自己创建。你的Linux没安装杀毒软件,可以直接到以下两个文件夹中来确认你是否已经被感染该木马:

– $HOME/$DATA/.mozilla/firefox/profiled

– $HOME/$DATA/.dropbox/DropboxCache

具体细节还未透露

截屏的图片文件格式在默认情况下为JPEG,文件名包含截屏时间。如果你的电脑不能保存该格式的图片,木马会用BPM格式保存截图。Linux.Ekocms需要定期上传文件,主要通过一个网络代理连接c&c服务器,恶意攻击者在木马的代码里硬编码写上C&C服务器的IP地址,所有截图会被加密上传到远程服务器,因此第三方工具要想使用反向工具破译木马行为,也存在一定难度。

目前来看,Linux.Ekocms是一款收集信息的木马工具,允许攻击者获取目标主机的上网行为。但目前Dr.Web安全专家并没有透露该木马是如何实现感染Linux系统用户的方式。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图