B0r0nt0K勒索软件威胁Linux服务器

一种名为“B0r0nt0K”的新型加密病毒使Linux和可能的Windows Web服务器面临加密所有受感染域文件的风险。

根据哔哔电脑用户论坛上的一篇帖子，新的勒索软件威胁和20个比特币(约7.5万美元)的赎金上周首次曝光。

该论坛用户表示，一个客户的网站对所有文件进行了加密，并将其命名为.rontok扩展名。该网站在Ubuntu 16.04上运行。

根据报告，B0r0nt0K赎金通知不会以文本格式或消息本身显示。相反，被感染系统上的屏幕显示链接到勒索软件开发商的网站，该网站提供加密和支付要求的详细信息。显示包括登录到站点所需的个人ID。

Schellman公司的威胁和漏洞评估经理Kent Blackwell说:“在这次事件中，最初的妥协载体还不为人所知，研究人员也没有得到恶意软件的样本。”公司。

他告诉LinuxInsider说:“如果没有恶意软件样本或其他显示病毒入侵的指标，很可能大多数反病毒产品——尤其是那些依赖静态签名的产品——将无法防止这种感染。”

登录勒索软件开发者的网站后，会出现一个支付页面，其中包括比特币赎金金额、比特币支付地址和info@botontok。英国电子邮件联系开发商。

据2-Spyware.com网站称，在一个显示的信息屏幕上显示的联系信息表明，开发商愿意协商价格。“谈判?”这个词出现在邮件地址之前，以达到勒索软件开发者的目的。

赎金通知是在Web浏览器窗口的屏幕上生成的。病毒开发者鼓励感染病毒的受害者在三天内通过他们提供的网站上的表格支付赎金，以避免永久删除他们的文件。

然而，2-Spyware.com在其网站上警告说，所谓的解密密钥可能永远不会被交付给支付了巨额赎金的受害者。该公司建议不要支付赎金，因为它没有保证。

2-Spyware.com警告说，像B0r0nt0k这样的加密病毒可以禁用安全工具或其他功能，以保持运行不中断。如果不进行处理，B0r0nt0k勒索软件可以改变计算机的更关键部分。

瞻博网络(Juniper Networks)瞻博威胁实验室(Juniper Threat Labs)主管穆尼•哈德(Mounir Hahad)表示，这一赎金的要价相当高，暗示着一种潜在的不可告人的动机。

他告诉LinuxInsider说:“也许行凶者只是在一个不太出名的网站上测试他的方法，然后再转向更有钱的目标。”

Blackwell说，目前还不清楚勒索软件是如何在受害者的网络服务器上执行的。

Schellman公司威胁与漏洞评估经理Josh Tomkiel说:“勒索软件需要一种方法。公司。

“虽然目前可能不清楚B0r0nt0K ransomware能够建立一个立足在受影响的Linux服务器的问题,通常它回到服务器配置错误或过时版本的软件运行与已知的远程代码执行漏洞,”他告诉LinuxInsider。

Tomkiel警告说，即使你成功地解密了你的文件，一个持续的威胁仍然潜伏着。永远不要认为你已经“走出了森林”。

勒索软件的作者可以很容易地在服务器上添加一个后门，以便以后进行远程访问，所以从备份中恢复是唯一的解决方案，他指出。

“不要以为支付赎金就可以解密你的数据。没有人能保证勒索软件的作者会坚持他们的承诺。”

所有关于B0r0nt0k勒索软件似乎确定的是，它不是一个新的攻击。

Blackwell说，到目前为止，B0r0nt0K勒索软件的突出之处在于它所要求的赎金数额。

Cavirin的CISO和网络实践副总裁Mukul Kumar告诉LinuxInsider:“这次特别的攻击没有什么特别新奇的，尽管它看起来不是由点击电子邮件触发的。”

像B0r0nt0K这样的勒索软件攻击以缺乏准备的组织为目标。WatchGuard Technologies的高级威胁分析师马克•拉利伯特(Marc Laliberte)警告称，如果你最近没有备份，并成为B0r0nt0k勒索软件的受害者，你可能会遇到麻烦。

他告诉LinuxInsider说:“因为B0r0nt0K太新了，目前我们没有有效载荷的副本来分析，但我们知道勒索软件使用了强加密——很可能是AES的变体，这是当今勒索软件的标准。”

拉利伯特指出，这意味着你不应该指望不用付钱就能解密你的文件，但支付赎金并不总是能保证你能取回你的文件。

然而，在遭受勒索软件攻击后恢复备份仍然是一个耗时的过程，这意味着您也应该首先采取措施防止感染。将最新的安全补丁应用到您的应用程序和服务器上可能是您可以采取的最重要的一步来增强您的防御，但这还不够，Laliberte警告说。

他说:“对付勒索软件需要一个多层防御方法，包括阻止应用程序被利用的入侵防御服务，以及使用机器学习和行为检测来识别逃避的有效载荷的高级恶意软件检测工具。”

员工培训也很重要，因为大多数传统的勒索软件攻击都是从钓鱼邮件开始的。拉利伯特表示，网络钓鱼意识，再加上技术防御工具，可以让你的组织远离B0r0nt0K这样的勒索软件。

Proven Data的首席执行官Victor Congionti说，防止B0r0nt0K进入您的Linux服务器的最有效的方法是关闭SSH(安全shell)和FTP(文件传输协议)端口。

“这是两种主要的方法……这些黑客的目标似乎是运行加密脚本。该勒索软件似乎使用了一种将字符转换为比特的base64算法，这就造成了极其困难的解密过程来重新获得控制权，”他告诉LinuxInsider。

这些攻击也可能是通过基本CMS(内容管理系统)漏洞发送的。Congionti指出，如果Linux上的用户使用CMS来管理他们网站上的内容，这可能是系统安全框架中的一个漏洞。

他指出，网络罪犯在这些看似安全的应用程序中发现漏洞越来越普遍，这使得他们可以对网络的安全和权限设置进行重大修改。

Juniper的Hahad指出，大多数网站都是使用源代码版本控制系统来部署的，该系统可以在任何时候重新部署一个干净的网站版本。

他表示:“唯一可能造成永久性损害的是，如果使用了内容管理系统数据库，而且没有备份，那么该数据库将受到损害。”

受害者绝对不应该支付赎金。相反，Hahad建议如下:

Stealthbits Technologies副总裁达林?彭德格拉菲特(Darin Pendergraft)说，最后一个建议是假定存在漏洞。

他告诉LinuxInsider说:“做好准备的最好方法是假设你会被入侵，然后采取相应措施保护你的服务器和工作站。”假设攻击者在您的网络中，并且控制一个工作站。然后决定他们要窃取或加密哪些数据或IT资源。然后采取额外的步骤来保护这些资源。”

彭德格拉菲表示，当务之急是找到你的敏感数据。这些数据包括病人数据、客户信息和财务记录。确保只有经过批准的员工才能访问它们。监视这些资源，以发现不寻常的文件行为，如批量复制、删除或文件加密。确保你有一个应急计划，可以在几分钟内做出反应。

“这些措施不会阻止攻击，”他承认，“但它们可能意味着安全事件与全面入侵之间的区别。”

杰克·m·杰曼自2003年以来一直是ECT新闻网的记者。他主要关注的领域是企业IT、Linux和开源技术。他写了许多关于Linux发行版和其他开源软件的评论。杰克的电子邮件。