Linuxユーザーと管理者は、彼らを標的とする危険なランサムウェアのニュースが報じられたため、警戒することをお勧めします。. これはラッキーランサムウェアと呼ばれ、Windowsで知られている多数の亜種として、典型的なファイル暗号化動作を特徴とするグローバルな攻撃キャンペーンで展開されます。. 脅威は自動的に他のホストに感染し、ネットワーク全体を短時間で停止させる可能性があります.
ラッキーランサムウェアは次のように動作します “サタン” Windowsの場合
ラッキーランサムウェアは、Linuxサーバーを標的とする最新の脅威です, その発生についての詳細はに投稿されました 発表 研究者のチームによる. 専門家は、このタイプのWindowsベースの脅威の動作に厳密に従っていることに注意してください. 進行中の攻撃キャンペーンは、この成功した慣行がLinuxシステムに引き継がれていることを示しています.
ソースコードと伝播モードの分析は、それが クロスプラットフォーム, つまり、将来のアップデートは、Microsoftのオペレーティングシステム用にコンパイルされた場合、実際にはWindowsマシンでも使用される可能性があります。. 分析によると、Windowsマシンに感染するために使用されるSatanランサムウェアと非常によく似ています。.
ラッキーランサムウェアは、ターゲットマシンに感染するために、一連の脆弱性を使用します:
- CVE-2013-4810 —これは、HPProCurveManagerで識別される一連のエクスプロイトです。 (PCM) 3.20 と 4.0, PCM + 3.20 と 4.0, Identity Driven Manager (IDM) 4.0, およびアプリケーションライフサイクル管理により、攻撃者は任意のコードを実行できます.
- CVE-2010-0738 —これは、Red Hat JBoss EnterpriseApplicationPlatformのJBossAsのJMX-ConsoleWebアプリケーションで発見された問題です。 (別名JBossEAPまたはJBEAP) 4.2 4.2.0.CP09より前および 4.3 GETメソッドとPOSTメソッドに対してのみアクセス制御を実行する4.3.0.CP08より前. これにより、悪意のあるユーザーがリモートで攻撃を実行できるようになります.
- CVE-2017-12615 —ApacheTomcatを実行している場合 7.0.0 に 7.0.79 HTTPPUTが有効になっているWindowsの場合 (例えば. デフォルトの読み取り専用初期化パラメータをfalseに設定する) 特別に細工されたリクエストを介してJSPファイルをサーバーにアップロードすることが可能でした. 次に、このJSPを要求すると、そこに含まれるすべてのコードがサーバーによって実行されます。.
- TomcatWeb管理コンソールのログインパスワードブルートフォース攻撃によるサービスへのアクセスの許可.
- CVE-2017-10271 —これはOracleWebLogicサーバーコンポーネントの脆弱性です: 影響を受けるサポートされているバージョンは 10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0 と 12.2.1.2.0. 侵入によりサーバーが乗っ取られる可能性があります.
- MS17-010 —これは、WannaCryランサムウェア感染を軽減する新しいバージョンのWindows用にリリースされたパッチです。. 私たちは書いた [wplinkpreview url =”https://Sensorstechforum.com/top-5-wannacry-ransomware-mitigations/”]詳細記事 それについて.
- Apache Struts 2 Webアプリケーションフレームワークのエクスプロイト —これは大きくて [wplinkpreview url =”https://Sensorstechforum.com/cve-2017-5638-patched-attack/”]よく知られているセキュリティインシデント 世界中のさまざまなWebサーバーを網羅しました. パッチは3月にリリースされました 2017 しかし、これは攻撃を止めませんでした.
ホストが危険にさらされるとすぐに、感染スクリプトはランサムウェアを自動的に展開します.
ラッキーランサムウェア操作: 感染プロセス
ランサムウェアモジュールが開始されるとすぐに、ユーザーデータファイルの暗号化が開始されます. それが行う最初のアクションは、 /tmp / Ssession ファイル. さまざまなサーバーコンポーネントによって使用される一時的なアクティビティに関する情報が含まれています (通常はWebサービス). 標準的な方法は、それらの有効期限を設定することです. それらが感染エンジンによって読み取られると、設定された期間内にアクセスされたデータがウイルスに表示されます.
リストされたシステムファイルは、暗号化エンジンによって処理され、 .lucky拡張子に名前が変更されました. ソースコード分析は、重要なシステムの場所を無視する例外リストも利用可能であることを示しています. それらが影響を受けると、システムが完全に機能しなくなる可能性があります. ターゲットデータは、次のファイル拡張子を含むように識別されました:
焼く, ジップ, sql, mdf, ldf, myd, myi, dmp, xls, doc,
TXT, ppt, csv, rtf, pdf, db, vdi, vmdk, vmx, タール,
gz, ペム, pfx, cerとpsf
ランサムウェアのメモは、というファイルで生成されます _How_To_Decrypt_My_File_.txt 次のメッセージを読みます:
申し訳ありませんが.
一部のファイルが暗号化されています
ファイルを元に戻したい場合 , 送信 1 私の財布にビットコイン
私の財布の住所: 3HCBsZ6QQTnSsthbmVtYE4XSZtism4j7qd
ご不明な点がございましたら, お問い合わせください.
Eメール: nmare@cock.li
興味深い特徴は、このランサムウェアのメモが MOTD (今日のメッセージ) Linuxマシンにログインしているすべてのユーザーに表示されます. 暗号化が完了すると、モジュールはローカルネットワーク上にある他のホストを検索し、それらに感染しようとします.
ラッキーランサムウェアが感染戦術に成功した場合、Windowsベースのバージョンが開発される可能性があります. その振る舞いはサタンに基づいているので、同じRaaSに従うかもしれないと私たちは期待しています (サービスとしてのランサムウェア) モデル.