一种新的基于Java的勒索软件针对Windows和Linux
安全研究人员发现了一种新型的勒索软件,它使用鲜为人知的Java文件格式,使其在引爆其文件加密有效载荷之前变得更加难以检测。
咨询巨头毕马威(KPMG)的事件响应部门应邀在一家未受保护的欧洲教育机构中进行了恢复工作,该机构受到勒索软件攻击。与毕马威(KPMG)合作的黑莓安全研究部门分析了该恶意软件,并于周四发布了调查结果。
黑莓的研究人员说,黑客使用连接到互联网的远程桌面服务器闯入了研究所的网络,并部署了持久的后门,以便在离开后可以轻松访问网络。几天不活动以阻止检测后,黑客再次通过后门重新进入网络,禁用任何正在运行的反恶意软件服务,将勒索软件模块传播到网络上,并引爆有效载荷,加密每台计算机的文件并将其扣为人质索要赎金。
研究人员说,这是他们第一次看到将勒索软件模块编译为Java图像文件格式或JIMAGE的情况。这些文件包含运行代码所需的所有组件(有点像Java应用程序),但是很少被反恶意软件引擎扫描,并且很大程度上不会被发现。
BlackBerry将勒索软件命名为“ Tycoon”,它引用的是反编译代码中的文件夹名称。研究人员说,该模块具有允许勒索软件在Windows和Linux计算机上运行的代码。
勒索软件运营商通常使用强大的现成加密算法来扰乱受害者的文件,以换取通常在加密货币中需要的赎金。对于大多数受害者而言,他们唯一的选择就是希望自己有一份后盾或支付赎金。(联邦调查局长期以来不鼓励受害者支付赎金。)
但是研究人员说,希望有些受害者能够在不支付赎金的情况下恢复其加密文件。早期版本的Tycoon勒索软件使用相同的加密密钥来加密受害者的文件。研究人员说,这意味着可以使用一种解密工具为多个受害者恢复文件。但是新版的《大亨》似乎已经解决了这一弱点。
黑莓的埃里克·米拉姆(Eric Milam)和克劳迪乌·特奥多雷斯库(Claudiu Teodorescu)告诉TechCrunch,他们在过去的六个月中观察到大约十二个“高度针对性”的大亨感染,这表明黑客们精心选择了受害者,包括教育机构和软件公司。
但是,研究人员说,通常情况下,实际感染数量可能要高得多。