正在開發中的 Linux 勒索軟件疑似與 DarkAngels 有關

Uptycs 威脅研究人員最近發現一個 ELF 勒索軟件，它會根據給定的文件夾路徑加密 Linux 系統內的文件。根據給出的README說明，其與 DarkAngels 勒索軟件的 README 說明完全一致。

【DarkAngels 勒索軟件】

DarkAngels 勒索軟件五月份完成首秀，最初發現是針對 Windows 系統的。本次發現的 ELF 文件可能是最新的，而樣本中的暗網鏈接并不存在，這可能說明針對 Linux 的勒索軟件仍在開發中。

 技術概述

ELF 版本的勒索軟件需要一個文件夾作為進行加密的參數。給出了文件夾路徑，勒索軟件就會開始加密文件夾中存在的文件，加密后的文件擴展名為 .crypted。

【DarkAngels 勒索軟件】

惡意軟件使用 pthread_create 創建新線程，新線程通過調用 start_routine() 函數開始執行。

【創建新線程】

start_routine() 函數中會執行以下步驟來加密目標文件：

打開目標文件并使用 fcntl()對其設置寫入鎖定

關閉目標文件，然后將其重命名為 *.crypted

打開另一個名為 *.crypted.README_TO_RESTORE的文件，將 README 內容寫入其中

打開 *.crypted并使用 lseek 和 write 將加密內容寫入其中

將所有加密文件的列表都存儲在名為 wrkman.log.0 的文件中

【start_routine 函數】

 結論

針對 Linux 系統或跨平臺針對多個操作系統的勒索軟件屢見不鮮，攻擊者正在不斷擴展攻擊范圍。DarkAngels 勒索軟件似乎仍處于開發階段，其又將矛頭指向 Linux 系統。