【勒索病☠】盘点全球主流Linux平台的勒索病毒

前言

美国网络信息安全公司CrowdStrike在2021年的攻击数据报告中，总结与2020年度相比，2021年度针对Linux系统的恶意软件增加了35%，其实最近几年针对Linux平台下的恶意软件数据一直在不断的增加，这些恶意软件主要包含僵尸网络、挖矿病毒、勒索病毒、远控木马等，随着云计算平台的发展，针对Linux平台进行攻击的恶意软件家族会越来越多。

几年前Sodinokibi(REvil)勒索病毒黑客组织的14名主要成员被俄罗斯政府联邦安全局(FSB)逮捕，突袭执法行动，当局扣押了数量可观的赃款赃物，包括超过4.26亿卢布（包含加密货币，约合3550万元人民币）、60万美元和50万欧元现金，20辆豪华汽车，并查封了作案所使用的电脑设备以及加密货币电子钱包。

虽然Sodinokibi(REvil)部分成员被捕了，这款勒索病毒己经消亡了，就像此前的GandCrab一样，但是勒索攻击仍然会继续，马上会有新的勒索病毒家族代替Sodinokibi勒索病毒，勒索病毒黑客组织会持续开发新的勒索病毒，发起新的攻击，未来几年勒索攻击仍然将是全球最大的网络安全威胁之一。

笔者给大家盘点了针对Linux平台的勒索病毒家族，这些都是全球主流的勒索病毒家族，每一款勒索病毒家族后面可能都是一个技术相对成熟的黑客组织，未来这些勒索病毒黑客组织还会持续针对Linux平台发起攻击活动，如下所示：

eCh0raix勒索病毒

eCh0raix勒索病毒是一款专门针对NSA装置而设计的勒索病毒，采用Go/Golang语言编写，加密后的文件，如下所示：

生成的勒索提示信息文件，内容如下所示：

Babuk勒索病毒

Babuk勒索病毒，也被称为Babyk，该勒索病毒被用于针对企业进行双重勒索攻击活动，不仅加密企业的数据，而且还会窃取企业的核心数据，加密后的文件，如下所示：

TellYouThePass勒索病毒

TellYouThePass勒索病毒，曾经利用永恒之蓝漏洞和Apache Log4j CVE-2021-44228漏洞发起攻击，加密后的文件，如下所示：

生成的勒索提示信息文件，内容如下所示：

BlackCat勒索病毒

BlackCat勒索病毒采用了Rust语言编写，通过命令行调用，可灵活配置绝大部分参数，同时采用RSA+AES/ChaCha20的方式加密磁盘文件，加密后的文件，如下所示：

生成的勒索提示信息文件，内容如下所示：

HelloKitty勒索病毒

HelloKitty勒索病毒，曾针对SonicWall设备发起攻击，加密后的文件，如下所示：

生成的勒索提示信息文件，内容如下所示：

DarkSide勒索病毒

DarkSide勒索病毒曾对美国燃油管道系统Colonial Pipeline发起勒索攻击，加密后的文件，如下所示：

生成的勒索提示信息文件，内容如下所示：

Sodinokibi(REvil)勒索病毒

Sodinokibi(REvil)勒索病毒黑客组织曾利用0day漏洞，通过Kaseya VSA发起大规模供应链攻击行动，加密后的文件，如下所示：

生成的勒索提示信息文件，内容如下所示：

DarkRadiation勒索病毒

DarkRadiation勒索病毒是一款针Linux系统平台的新型勒索病毒，此次攻击的大部分组件主要针对 Red Hat 和 CentOS Linux 发行版，但是在某些脚本中也包含基于 Debian 的 Linux 发行版，同时还会对Docker应用进行相关的攻击，该勒索病毒样本主要采用Bash编写，生成的勒索提示信息，内容如下所示：

Hive勒索病毒

Hive勒索病毒采用GO语言编写，加密算法使用AES+RSA，同时这款勒索病毒也采用了“双重”勒索的模式，通过在暗网上公布受害者数据，来逼迫受害者交纳赎金，加密后的文件，如下所示：

生成的勒索提示信息文件，内容如下所示：

AvosLocker勒索病毒

AvosLocker勒索病毒在2021年6月底被发现，全球各地都有企业遭受攻击，赎金要求从5万美元到7.5万美元不等，加密后的文件，如下所示：

生成的勒索提示信息，内容如下所示：

SFile勒索病毒

SFile勒索病毒又称Escal，最早出现于2020年,近期发现了它的Linux版，加密后的文件后缀名为：nuctech-gj0okyci，如下所示：

之前比较流行的Satan勒索病毒、XBash勒索病毒、Lucky勒索病毒等，有大部分以前主要都是针对Windows平台的，后面慢慢发展到了Linux平台，通过这些针对Linux平台的勒索病毒家族可以预见，未来会有越来越多的勒索病毒黑客组织开始针对Windows和Linux两个平台同时发起勒索攻击。

总结

一些人不太了解恶意软件，总是会觉得现在恶意软件很少了，而且一些人还会认为说Linux、Mac平台没有病毒了，其实不管是Windows、Linux平台，还是Mac平台，恶意软件已经无处不在，只是目前Windows平台仍然占据全球大部分的市场份额，攻击Windows产台能给黑客带来更多的收益，所以针对Windows平台的恶意软件会更多。

随着云计算或物联网的发展，当某个平台逐渐成为主流之后，这个平台就会成为黑客攻击的重点，针对这个平台的恶意软件就会增多，所以不管哪个平台，其实都是一样的，没有说哪个平台更安全这种说法，只是黑客还没有针对这个平台发起攻击吧了，当全球大部分的黑客将目标全对准一个平台的时候，这个平台就将成为全球黑客攻击的“耙子”，就不存在说某个平台安不安全的问题了。

未来随着云计算的发展，5G以及物联网平台的普及，针对Linux平台的恶意软件未来肯定会越来越多，而且随着Mac个人市场的不断增加，针对Mac平台攻击的恶意软件也会不断增多，目前大家看到的针对Linux平台的恶意软件大多数以挖矿、僵尸网络病毒为主，其实还有很多针对Linux平台的恶意软件，包含勒索病毒、远控木马类等。

笔者深度跟踪和研究过上百种主流的勒索病毒黑客组织，现在勒索病毒攻击手法多种多样，并且通过之前跟踪的一些大型的勒索病毒黑客组织的攻击活动，可以发现勒索病毒黑客组织APT式定向化勒索攻击的技术手段越来越高，APT式定向勒索攻击会成为未来针对企业进行勒索攻击的主流方式，同时针对个人的勒索攻击也在逐步流行，勒索病毒黑客组织无时无刻不在寻找着新的攻击目标，可以预测，勒索病毒攻击在未来几年仍然将是全球最大的网络威胁，不管是个人还是企业，一定要提高安全意识。

传送门：《勒索病毒专题报道》

原创作者：熊猫正正

恶意软件研究员
长期专注于全球恶意软件的分析与研究，深度追踪全球黑客组织的攻击活动，擅长各种恶意软件逆向分析技术，具有丰富的样本分析实战经验，对勒索病毒、挖矿病毒、窃密、远控木马、银行木马、僵尸网络、高端APT样本都有深入的分析与研究

原创 pandazhengzheng 安全分析与研究