研究人员警告新的 DarkRadiation 勒索软件

趋势科技网络安全专家 警告 一种名为 DarkRadiation 的新勒索软件. 该恶意软件旨在攻击 Red Hat/CentOS 和 Debian Linux 发行版. 与 C 沟通&C服务器, 攻击者使用电报信使.

该恶意软件使用 AES (高级加密标准) 具有 CBC 模式的对称分组密码算法，用于加密各种目录中的文件. 在目前的时间, 没有关于用于传播恶意软件的方法的信息, 并且没有证据表明在实际攻击中使用了勒索软件.

该信息是通过对 api_attack 目录中身份不明的攻击者的基础设施中托管的一组黑客工具进行分析而获得的. api_attack 文件夹包含多个版本的 DarkRadiation 和 SSH 蠕虫 (下载器.sh) 负责传播恶意软件.

勒索软件正在积极开发中, 出于混淆目的，它使用开源工具 node-bash-obfuscate, 它允许您将代码分成几个片段, 然后为每个段分配一个变量名，并将原始脚本替换为对变量的引用.

DarkRadiation 检查它是否以 root 身份启动并使用提升的权限来下载和安装 Wget, cURL 和 OpenSSL 库. 该软件还定期收集有关使用 Unix 系统登录的用户的信息 “WHO” 每五秒发出一次命令. 然后将数据传输到攻击者使用 Telegram API 控制的服务器.

在攻击的最后阶段, 恶意软件会创建受感染系统上所有可用用户的列表, 用 megapassword 覆盖现有密码并删除所有 shell 用户, 在创建新用户 ferrum 和密码 MegPw0rD3 以继续加密过程之前.

DarkRadiation 还会禁用受感染系统上所有正在运行的 Docker 容器并生成赎金记录. 据专家介绍, 勒索软件添加了放射性字符 (.☢) 作为加密文件的扩展.

DarkRadiation 包含 install_tools 功能，用于在受感染系统上下载和安装必要的实用程序（如果尚未安装）. 该蠕虫仅下载并安装基于 CentOS 或 RHEL 的 Linux 发行版所需的软件包, 因为它只使用 Yellowdog Updater, 修改的 (百胜) 包管理器.

让我提醒你，我也谈到了这样一个事实 奇怪的恶意软件阻止受害者访问盗版网站.