Uptycs 威胁研究人员最近发现一个 ELF 勒索软件,它会根据给定的文件夹路径加密 Linux 系统内的文件。根据给出的 README 说明,其与
DarkAngels 勒索软件的 README 说明完全一致。
DarkAngels
勒索软件
DarkAngels 勒索软件五月份完成首秀,最初发现是针对 Windows 系统的。本次发现的 ELF
文件可能是最新的,而样本中的暗网链接并不存在,这可能说明针对 Linux 的勒索软件仍在开发中。
技术概述
ELF 版本的勒索软件需要一个文件夹作为进行加密的参数。给出了文件夹路径,勒索软件就会开始加密文件夹中存在的文件,加密后的文件扩展名为
.crypted。
DarkAngels
勒索软件
恶意软件使用 pthread_create 创建新线程,新线程通过调用 start_routine() 函数开始执行。
创建新线程
start_routine() 函数中会执行以下步骤来加密目标文件:
打开目标文件并使用
fcntl()对其设置写入锁定
关闭目标文件,然后将其重命名为
*.crypted
打开另一个名为
*.crypted.README_TO_RESTORE的文件,将 README 内容写入其中
打开
*.crypted并使用 lseek 和 write 将加密内容写入其中
将所有加密文件的列表都存储在名为 wrkman.log.0 的文件中
start_routine
函数
结论
针对 Linux 系统或跨平台针对多个操作系统的勒索软件屡见不鲜,攻击者正在不断扩展攻击范围。DarkAngels
勒索软件似乎仍处于开发阶段,其又将矛头指向 Linux 系统。
最后
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
因篇幅有限,仅展示部分资料,有需要的小伙伴,可以【扫下方二维码】免费领取:
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
