Akira勒索軟體自今年4月出現以來,已經出現超過70名受害者確認,目前受害者遍布美國的各個行業,包括教育、銀行、金融服務、製造業和服務業等。日前安全專家發現Akira勒索軟體具備Linux變體。
Akira勒索軟體的Linux可執行檔是一個64位Linux可執行和可連結格式(ELF)檔案。要執行Akira勒索軟體的Linux變體,需要下具體的參數。這些參數包括要加密的檔案或資料夾位置、加密的共用網路磁碟、加密的檔案百分比以及建立一個用於加密的子進程。
- -p 加密路徑(目標文件/文件夾路徑)
- -s share_file(目標網路驅動器路徑)
- -n encryption_percent(加密百分比)
- fork(子進程用於加密)
其中 -n 參數特別值得注意,因為它允許攻擊者定義每個文件上加密的數據量。設置越低,加密速度越快,但受害者無需支付贖金就有可能恢復其原始文件。
Akira有一個特定檔案類型的清單,這些檔案類型包括各種副檔名,如文檔、資料庫、圖像等。如果一個檔案符合這些副檔名中的任何一個,Akira就可以對該檔案進行加密。
Akira勒索軟體的Linux變體使用不同的對稱金鑰演算法,包括AES、CAMELLIA、IDEA-CB和DES,來執行加密過程。這些演算法有助於擾亂檔案中的資料,使其無法存取。
執行後,Akira勒索軟體會載入一個預先確定的RSA公開金鑰來啟動加密過程。同時每個被攻擊的檔都會被附加「.akira 」的檔副檔名,並在受害者的系統中留下贖金資訊。RSA 公鑰會阻止系統管理者對解密密鑰的存取,除非擁有僅由攻擊者持有的 RSA 私有解密密鑰。
據外媒報導,針對 Linux 加密器的分析顯示,Akira的項目名稱為“Esxi_Build_Esxi6”,這表明Akira背後的主使者針對 VMware ESXi 伺服器設計了這個Linux變體。
近幾年,隨著企業轉向使用虛擬機作為伺服器以提高設備管理和資源的效率,越來越多勒索軟體駭客組織設計自定義的Linux 加密器來加密 VMware ESXi 伺服器。不同的是,Akira 的Linux加密器不包含許多進階功能,如使用 esxcli 命令加密文件前自動關閉伺服器功能。
Akira勒索軟體的Linux變種表示網路威脅對Linux系統越來越嚴重。支援Linux 是勒索軟體攻擊的趨勢之一,許多攻擊團體使用現成的工具來做到這一點。使用Linux環境的組織必須保持警惕,並實施有效的安全措施,以防止勒索軟體攻擊。
其他利用 Linux 加密器的勒索軟體攻擊組織(大多數針對 VMware ESXi)包括 Royal、 BlackBasta、 LockBit、 BlackMatter、 AvosLocker、 REvil、 HelloKitty、 RansomEXX和 Hive。
本文轉載自thecyberexpress及bleepingcomputer,圖自Cyble。