勒索軟件狙擊Linux系統 不留記錄難以破解

一直以來透過隨機刪除和改寫檔案作惡的惡意程式KillDisk,其新版本被研究人員發現加入了加密勒索功能,而且更發現針對Linux系統的版本,運作模式與Windows版有明顯不同,並且不在任何地方留下加密密鑰,所以理論上檔案一經加密,即使是黑客本身也無法進行解密。
killdisk-linux

Windows與Linux版加密勒索大不同
具有加密勒索功能的新變種KillDisk,針對Windows和Linux系統的版本的運作完成不同,其中最值得注意,Linux本在進行加密之後,並沒有將加密密鑰記錄在本機或網上任何地方,正常情況下,意味著Linux受害者永遠無法復原檔案。幸好,有研究人員發現Linux版本的程式漏洞,日後有機會可以將受影響的檔案復原,但是該漏洞並不存在於Windows版本。

此外,在加密的方式與勒索訊息方面,兩個版本也有不同的地方。首先,KillDisk在Windows裝置作惡時,採用到AES-256和RSA-1028兩種技術,加密密鑰會存放在黑客的伺服器內,當受害人支付222比特幣贖金之後(約22萬美元),才會為受害者進行解密。由於黑客使用Telegram的技術(即時通訊應用程式)傳送加密密鑰,所以研究人員稱呼那組黑客為TeleBots。

Windows版勒索訊息
Windows版勒索訊息

另一方面,Linux版本KillDisk會透過Triple-DES的技術進行加密,針對17個指定的資料夾,把資料夾內所有檔案進行加密,並且改寫用戶的開機磁區,利用GRUB開機程式顯示勒索訊息,包括與黑客聯絡的電郵地址。

Linux版本勒索訊息
Linux版本勒索訊息

坊間一直有流傳,Mac和Linux平台沒有病毒(或惡意程式),認為所以很安全,其實只是少部份無知者以訛傳訛的謬誤,作為一個精明用戶,無論使用哪個系統的平台,都要具有網絡安全的意識,才能避免自己成為下一個受害者。

資料來源:Bleeping Computer