俄羅斯殺毒軟件公司網(wǎng)站已經(jīng)對Linux.Encoder.1進(jìn)行了研究,并且報(bào)告了一些更壞的消息——感染數(shù)量在持續(xù)上升中。
這家公司已經(jīng)發(fā)現(xiàn)了這個(gè)問題,但現(xiàn)在它擁有更多的相關(guān)信息。而我們之前談到的已經(jīng)被感染方,數(shù)量已經(jīng)上萬,現(xiàn)在,我們有更多的焦點(diǎn)以及更廣闊的前景去探索。
該公司聲稱:“攻擊方案表明,網(wǎng)絡(luò)罪犯實(shí)際上不需要root權(quán)限來讓Linux的Web服務(wù)器運(yùn)行或者是運(yùn)行加密文件,”。
此外,該木馬還對互聯(lián)網(wǎng)資源擁有者構(gòu)成了嚴(yán)重威脅,尤其是考慮到許多流行的CMS都有許多未修復(fù)的漏洞,以及一些站長要么無視及時(shí)更新的必要性,要么就是使用CMS過時(shí)的版本。”
據(jù)研究,可能有多達(dá)2000個(gè)受影響的網(wǎng)站,每一個(gè)都受到了不同程度的威脅。就在昨天,我們進(jìn)行了同樣的研究,對“readme_for_decrypt.txt”進(jìn)行了谷歌搜索,發(fā)現(xiàn)其搜索結(jié)果的數(shù)量現(xiàn)在是40,000。
Dr Web表示,這個(gè)漏洞也是有缺陷的。
上周,該公司警告稱,到目前為止,已經(jīng)有數(shù)萬用戶受到感染。感染方有,網(wǎng)站管理員的電腦,以及那些與其服務(wù)的網(wǎng)頁相關(guān)的服務(wù)器。
Dr web還表示:“從目錄中的木馬加密文件來看,可以得出一個(gè)結(jié)論,網(wǎng)絡(luò)犯罪分子的主要目標(biāo)是網(wǎng)站管理員,并且他們的機(jī)器上部署有Web服務(wù)器。”
“在一些情況下,當(dāng)病毒制造者利用CMS Magento的漏洞對Web服務(wù)器發(fā)動(dòng)攻擊。Dr web的安全研究人員推測,至少已經(jīng)有數(shù)萬的用戶成為了這個(gè)木馬的受害者。”
一旦Linux.Encoder.1被攜帶——Dr web并沒有透露這是怎么發(fā)生的,它會下載額外的文件,并且抓取RSA密鑰。在那之后,事情就會變得非常糟糕。
該公司補(bǔ)充說到:“管理員權(quán)限一旦啟動(dòng),被稱為Once Linux.Encoder.1的木馬 ,馬上下載文件里包含網(wǎng)絡(luò)罪犯的命令以及一個(gè)帶有公共RSA密鑰路徑的文件。之后,該惡意程序開始作為一個(gè)守護(hù)進(jìn)程,并且開始刪除原始文件。"
隨后,RSA密鑰將用來存儲AES密鑰,其受命于木馬,用來感染已經(jīng)被感染的計(jì)算機(jī)上的文件。”
該木馬通過Linux系統(tǒng)加密所有它存在過的目錄中的文件。它會對加密的文件做標(biāo)記,并設(shè)置它的要求。
“首先,Linux.Encoder.1 會加密主目錄中的所有文件和以及網(wǎng)站管理下的相關(guān)目錄。然后木馬開始運(yùn)行時(shí),該木馬遞會遞歸遍歷整個(gè)文件系統(tǒng)的目錄;接下來,從一個(gè)根目錄(“/”)開始。在那個(gè)位置,木馬會加密特別指定的那些文件,并且只有當(dāng)一個(gè)目錄名開始是字符串時(shí),網(wǎng)絡(luò)犯罪就開始了。"該公司表示。
“被入侵的文件被加密擴(kuò)展的惡意軟件捆綁附加。在每一個(gè)包含加密文件的目錄,木馬會植入一個(gè)帶有贖金要求的文件,如果想要他們的文件得以解密,受害者必須以比特幣的電子貨幣形式支付贖金。”
所要求的贖金是一個(gè)相對較低的比特幣總和,大約幾百美元。