国家计算机病毒应急处理中心(www.cverc.org.cn)通过对互联网的监测,发现名为“ECh0raix”的勒索软件新变种正在通过系统漏洞和弱口令攻击等方式针对任何Linux版本设备平台进行攻击。攻击可能导致受感染的设备出现运行故障或者无法重新登录等现象。
ECh0raix勒索软件最早于2019年7月被发现,最初主要针对QNAP网络存储(NAS)设备进行攻击。此次发现的新变种取消了对特定后缀名文件的加密限制,可以针对任何 Linux 版本设备平台进行攻击。ECh0raix勒索软件新变种是使用Go语言编译的去符号64位ELF可执行文件,主函数入口是 main_main 函数。该勒索软件通过检查操作系统语言环境来确定被感染的设备所处的位置,如果其位于俄罗斯、乌克兰国家,则不会进行攻击。ECh0raix勒索软件新变种通过固定的字符集,创建随机的序列作为AES Key,然后通过本地生成的RSA公钥加密之前生成的AES Key,使用AES CFB算法加密受感染设备中的文件,加密后文件的扩展名为.encrypted。该勒索软件加密完成后会给受害者留下勒索信,要求受害者联系匿名邮箱以解密文件。该勒索软件还会将受害者桌面壁纸篡改为蓝色。
针对ECh0raix勒索软件新变种的特点,建议使用Linux系统的用户采取以下措施予以防范,一是及时升级系统并安装补丁程序;二是采用高强度的密码,避免使用弱口令密码,并定期更换;三是定期对重要文件进行非本地备份。