CYBER NEWS

Potent Glücksransomware Hits Linux-Server in einem globalen Angriff

Linux-Benutzer und Administratoren wird empfohlen, wachsam zu sein, als die Nachricht von einem gefährlichen Erpresser brach sie Targeting. Es ist die glückliche Ransomware, und es wird in einer globalen Angriff Kampagne mit typischem Datei-Verschlüsselung Verhalten wie die zahlreichen Varianten bekannt für Windows eingesetzt genannt. Die Bedrohung kann automatisch andere Wirte infizieren und somit ganze Netzwerke in kurzer Zeit abbauen.




Glück Ransomware Acts wie “Satan” Für Windows-

The Lucky Ransomware ist die neueste Bedrohung Targeting Linux-Servern, Details über seinen Ausbruch wurden in einem gepostet Ankündigung von einem Team von Forschern. Die Experten beachten Sie, dass es eng das Verhalten von Windows-basierten Bedrohungen dieser Art folgt. Die laufende Angriff Kampagne zeigt, dass diese erfolgreiche Praxis wurde auf Linux-Systeme übertragen.

Die Analyse des Quellcodes und Ausbreitungsmodus zeigt, dass es Cross-Plattform, was bedeutet, dass es zukünftige Updates tatsächlich auf Windows-Rechnern, wenn für Microsoft-Betriebssystem kompiliert und verwendet werden könnten,. Nach der Analyse ist es sehr ähnlich dem Satan Ransomware verwendet Windows-Rechner zu infizieren.

verbunden: Satan Ransomware - Entfernen und Wiederherstellen von Dateien

Zu infizieren verwendet die Zielmaschinen Lucky Ransomware eine Reihe von Schwachstellen:

  • CVE-2013-4810 - Dies ist eine Reihe von Exploits, die in HP ProCurve Manager identifiziert werden (PCM) 3.20 und 4.0, PCM + 3.20 und 4.0, Identity Driven Manager (IDM) 4.0, und Application Lifecycle Management ermöglicht es Angreifern, beliebigen Code auszuführen.
  • CVE-2010-0738 - Dies ist ein erkanntes Problem in der JMX-Console Web-Anwendung in JBossAs in Red Hat JBoss Enterprise Application Platform (aka JBoss EAP oder JBEAP) 4.2 vor 4.2.0.CP09 und 4.3 vor 4.3.0.CP08 führt die Steuerung Zugang nur für Methoden GET und POST. Dies ermöglicht effektiv böswillige Benutzer Angriffe auszuführen fern.
  • CVE-2.017-12.615 - Bei der Ausführung von Apache Tomcat 7.0.0 zu 7.0.79 unter Windows mit HTTP PUTs aktiviert (z.B.. über die Nur-Lese-Initialisierung Parameter des Standard auf false) war es möglich, eine JSP-Datei auf den Server über eine speziell gestaltete Anforderung zum Hochladen. Diese JSP könnte dann aufgefordert werden, und die darin enthaltenen Code würde durch den Server ausgeführt werden.
  • Eine Tomcat Web-Admin-Konsole Login-Passwörter Brute-Force-Angriff ermöglicht Zugriff auf den Dienst.
  • CVE-2017-10271 - Dies ist eine Sicherheitslücke in der Oracle WebLogic Server-Komponente: Unterstützte Versionen sind betroffen sind 10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0 und 12.2.1.2.0. Einbrüche in der Übernahme des Servers führen.
  • MS17-010 - Dies ist ein Patch, der für neuere Versionen von Windows mildernden WannaCry Ransomware Infektionen veröffentlicht wurde. Wir schrieben ein ausführliche Artikel darüber.
  • Apache Struts 2 Web Application Framework Exploits - Dies ist die große und bekannte Sicherheitsvorfall dass umfasste verschiedene Web-Servern weltweit. Ein Patch wurde im März veröffentlicht 2017 jedoch ist dies nicht die Angriffe stoppen.

Sobald die Gastgeber die Infektion Skript implementieren die Ransomware automatisch kompromittiert wurden.

Glück Ransomware Betrieb: Der Infektionsprozess

Sobald die Ransomware-Modul gestartet wird, wird es beginnt Dateien mit Benutzerdaten zu verschlüsseln. Die erste Aktion es tut, ist das lesen /tmp / Ssession Datei. Es enthält Informationen über temporäre Aktivität von verschiedenen Server-Komponenten verwendet (in der Regel Web-Service). Eine gängige Praxis ist ein Ablaufdatum für sie zu setzen. Wenn sie durch die Infektion Motor gelesen werden, wird es das Virus der abgerufenen Daten in dem festgelegten Zeitraum zeigen.

Die aufgeführten Systemdateien werden von der Verschlüsselungs-Engine verarbeitet werden und mit der .lucky Erweiterung umbenannt. Die Source-Code-Analyse zeigt, dass eine Ausnahmeliste ist ebenfalls verfügbar, welche Standorte wichtigen Systems ignoriert. Wenn sie betroffen sind, dann kann das System seine Funktion komplett. Die Zieldaten wurden identifiziert die folgenden Dateierweiterungen enthalten:

hinter, Reißverschluss, sql, MDF, ldf, Welt, verkauft, dmp, xls, doc,
txt, ppt, csv, rtf, pdf, db, vdi, vmdk, VMX, nimmt,
gz, pem, pfx, cer und psf

Eine Erpresser-Notiz wird in einer Datei erzeugt aufgerufen _How_To_Decrypt_My_File_.txt die liest die folgende Meldung:

Es tut mir leid, Ihnen zu sagen.
Einige Dateien hat crypted
wenn Sie Ihre Dateien zurück , senden 1 bitcoin meiner Brieftasche
meine Brieftasche Adresse: 3HCBsZ6QQTnSsthbmVtYE4XSZtism4j7qd
Wenn Sie irgendwelche Fragen haben, bitte kontaktieren Sie uns.
Email: nmare@cock.li

Ein interessantes Merkmal ist, dass diese Ransomware beachten Sie auch in der platziert MOTD (Nachricht des Tages) welche für alle Benutzer angezeigt zu dem Linux-Computer anmelden. Wenn die Verschlüsselung das Modul abgeschlossen hat, wird für andere Hosts, die sich auf dem lokalen Netzwerk suchen und versuchen, sie zu infizieren.

Wenn das Glück Ransomware in seiner Infektion Taktik erfolgreich ist erwarten wir, dass eine Windows-basierte Version davon könnte entwickelt werden. Wie ihr Verhalten auf Satan basiert erwarten wir, dass es die gleiche RaaS folgen könnte (Ransomware-as-a-Service) Modell-.

Avatar

Martin Beltov

Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.

Mehr Beiträge - Webseite

Folge mir:
ZwitschernGoogle plus

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Frist ist erschöpft. Bitte laden CAPTCHA.

Auf Facebook teilen Teilen
Loading ...
Empfehlen über Twitter Tweet
Loading ...
Share on Google Plus Teilen
Loading ...
Share on Linkedin Teilen
Loading ...
Empfehlen über Digg Teilen
Teilen auf Reddit Teilen
Loading ...
Empfehlen über Stumbleupon Teilen
Loading ...