RansomExx勒索軟體開始瞄準Linux

安全廠商卡巴斯基發現，最近十分猖獗的勒索軟體RansomExx，已經開始將目標轉向Linux系統。

卡巴斯基近期發現一隻加密檔案的木馬程式，它以ELF執行檔方式流傳騙取用戶安裝執行，目的在加密Linux環境下的檔案。經過程式碼分析、以及該木馬作者留下的訊息及勒索手法，顯示就是今年十分活躍的RansomExx。

RansomExx是向來鎖定大公司為主，今年來已經有Konica Minolta、美國公家機關最大供應商的Tyler遭到毒手，本周巴西最高上訴法院被駭也是RansomExx所為。

RansomEXX是精準攻擊的勒索軟體，每一隻樣本都會寫入受害目標的名字、而加密檔案副檔名及電子郵件也都是由受害組織名稱組成。根據木馬樣本使用的程式碼組織方式和加密手法判斷，和Windows版RansomEXX來自相同程式碼。卡巴斯基因而將樣本命名為Trojan-Ransom.Linux.Ransomexx。

一旦被用戶開啟，Linux版RansomEXX會產生256-bit AES金鑰來加密所有找得到的檔案，而這把AES金鑰還以一把嵌在木馬程式主體的RSA-4096公鑰加密。它還會每0.18秒重新產生及重加密AES金鑰。

但有趣的是，研究人員發現，該樣本除了留下加密訊息外，一般木馬程式會有的招式，像是反分析、建立C&C連線、終止行程執行等都沒有。另外，如果受害單位付了贖金，還會同時拿到Linux及Windows版解密金鑰。

Bleeping Computer引述安全廠商Emsisoft報導，Linux版RansomEXX可能今年7月、甚至更早便開始流傳。