Buggy Clop勒索软件变体目标Linux系统

目前，受害者可以在不支付赎金的情况下解密数据。但Clop是一种勒索软件变种，已经对Windows系统造成了严重破坏，所以这种情况一定会改变。

一个新发现的多产的Clop勒索软件家族版本对安全团队来说既有好消息也有坏消息。

好消息是，恶意软件是有缺陷的，受害者可以相对容易地解密它加密的任何数据，而不必首先为解密密钥支付赎金。坏消息是，新的恶意软件也是Clop的第一个Linux版本，这是一种特别讨厌的勒索软件变种，与许多引人注目的攻击有关，已使其运营商净赚数亿美元。

来自SentinelOne的SentinelLabs威胁搜索团队的研究人员在哥伦比亚的一所大学观察到针对Linux系统的最新Clop变体。该公司分析的样本显示，Linux代码的逻辑与危害更大的Windows代码相似，只是在API调用和不同操作系统特有的其他功能方面存在细微差异。

SentinelOne的分析显示，Clop的Linux版本可能仍处于初始开发阶段，缺少Windows版本恶意软件中存在的许多混淆和规避功能。安全供应商评估说，出现这种情况的原因可能与病毒总数上的64个病毒检测引擎目前没有一个能够检测到Linux Clop变体有关。

值得注意的是，SentinelOne的研究人员发现Linux变体中的加密逻辑存在缺陷。SentinelOne的威胁情报研究员安东尼斯·特雷福斯(Antonis Terefos)表示:“问题可以归结为Windows和Linux版本之间的几个关键区别。”

他说：“Linux版本包括一个硬编码的主密钥，当提取主密钥时，可以进行解密。该漏洞允许简单地提取或发现给定样本的RC4主密钥是什么。SentinelOne已经发布了该变体的免费解密器。”

另一方面，Windows版本包含许多验证步骤，以及不同的密钥生成过程，因此很难以类似的方式检索主密钥。

具体来说，Windows版本为受损系统上的每个加密文件生成RC4密钥，然后对加密密钥本身进行加密并将其存储在系统上。支付赎金的受害者将获得用于解密RC4密钥的解密密钥，然后使用该密钥解密实际数据。

SentinelOne还发现了Clop的Windows和Linux变体之间的其他差异。例如，Windows的变体包含了将系统上的特定文件、文件夹和扩展名排除在加密之外的逻辑。另一方面，在Linux版本中，加密目标路径被硬编码到恶意软件中，Terefos说:“因此，没有必要排除不需要的位置。”

新的Clop版本增加了一个不断增长的针对Linux系统的勒索软件变体列表。其他的例子包括Hive、Smaug、Snake和Quilin。

趋势科技的研究人员一直在跟踪这一趋势，他们报告称，与前一年相比，2022年上半年针对Linux系统的勒索软件攻击增加了75%。在9月份的一份报告中，该安全供应商报告称，观察到威胁行为者使用Linux勒索软件进行攻击的实例约为1960次，而2021年同期为1121次。