B0r0nt0K勒索軟件威脅Linux服務器

一種名為“B0r0nt0K”的新型加密病毒使Linux和可能的Windows Web服務器面臨加密所有受感染域文件的風險。

根據嗶嗶電腦用戶論壇上的一篇帖子，新的勒索軟件威脅和20個比特幣(約7.5萬美元)的贖金上周首次曝光。

該論壇用戶表示，一個客戶的網站對所有文件進行了加密，并將其命名為.rontok擴展名。該網站在Ubuntu 16.04上運行。

根據報告，B0r0nt0K贖金通知不會以文本格式或消息本身顯示。相反，被感染系統上的屏幕顯示鏈接到勒索軟件開發商的網站，該網站提供加密和支付要求的詳細信息。顯示包括登錄到站點所需的個人ID。

Schellman公司的威脅和漏洞評估經理Kent Blackwell說:“在這次事件中，最初的妥協載體還不為人所知，研究人員也沒有得到惡意軟件的樣本。”公司。

他告訴LinuxInsider說:“如果沒有惡意軟件樣本或其他顯示病毒入侵的指標，很可能大多數反病毒產品——尤其是那些依賴靜態簽名的產品——將無法防止這種感染。”

登錄勒索軟件開發者的網站后，會出現一個支付頁面，其中包括比特幣贖金金額、比特幣支付地址和info@botontok。英國電子郵件聯系開發商。

據2-Spyware.com網站稱，在一個顯示的信息屏幕上顯示的聯系信息表明，開發商愿意協商價格。“談判?”這個詞出現在郵件地址之前，以達到勒索軟件開發者的目的。

贖金通知是在Web瀏覽器窗口的屏幕上生成的。病毒開發者鼓勵感染病毒的受害者在三天內通過他們提供的網站上的表格支付贖金，以避免永久刪除他們的文件。

然而，2-Spyware.com在其網站上警告說，所謂的解密密鑰可能永遠不會被交付給支付了巨額贖金的受害者。該公司建議不要支付贖金，因為它沒有保證。

2-Spyware.com警告說，像B0r0nt0k這樣的加密病毒可以禁用安全工具或其他功能，以保持運行不中斷。如果不進行處理，B0r0nt0k勒索軟件可以改變計算機的更關鍵部分。

瞻博網絡(Juniper Networks)瞻博威脅實驗室(Juniper Threat Labs)主管穆尼?哈德(Mounir Hahad)表示，這一贖金的要價相當高，暗示著一種潛在的不可告人的動機。

他告訴LinuxInsider說:“也許行兇者只是在一個不太出名的網站上測試他的方法，然后再轉向更有錢的目標。”

Blackwell說，目前還不清楚勒索軟件是如何在受害者的網絡服務器上執行的。

Schellman公司威脅與漏洞評估經理Josh Tomkiel說:“勒索軟件需要一種方法。公司。

“雖然目前可能不清楚B0r0nt0K ransomware能夠建立一個立足在受影響的Linux服務器的問題,通常它回到服務器配置錯誤或過時版本的軟件運行與已知的遠程代碼執行漏洞,”他告訴LinuxInsider。

Tomkiel警告說，即使你成功地解密了你的文件，一個持續的威脅仍然潛伏著。永遠不要認為你已經“走出了森林”。

勒索軟件的作者可以很容易地在服務器上添加一個后門，以便以后進行遠程訪問，所以從備份中恢復是唯一的解決方案，他指出。

“不要以為支付贖金就可以解密你的數據。沒有人能保證勒索軟件的作者會堅持他們的承諾。”

所有關于B0r0nt0k勒索軟件似乎確定的是，它不是一個新的攻擊。

Blackwell說，到目前為止，B0r0nt0K勒索軟件的突出之處在于它所要求的贖金數額。

Cavirin的CISO和網絡實踐副總裁Mukul Kumar告訴LinuxInsider:“這次特別的攻擊沒有什么特別新奇的，盡管它看起來不是由點擊電子郵件觸發的。”

像B0r0nt0K這樣的勒索軟件攻擊以缺乏準備的組織為目標。WatchGuard Technologies的高級威脅分析師馬克?拉利伯特(Marc Laliberte)警告稱，如果你最近沒有備份，并成為B0r0nt0k勒索軟件的受害者，你可能會遇到麻煩。

他告訴LinuxInsider說:“因為B0r0nt0K太新了，目前我們沒有有效載荷的副本來分析，但我們知道勒索軟件使用了強加密——很可能是AES的變體，這是當今勒索軟件的標準。”

拉利伯特指出，這意味著你不應該指望不用付錢就能解密你的文件，但支付贖金并不總是能保證你能取回你的文件。

然而，在遭受勒索軟件攻擊后恢復備份仍然是一個耗時的過程，這意味著您也應該首先采取措施防止感染。將最新的安全補丁應用到您的應用程序和服務器上可能是您可以采取的最重要的一步來增強您的防御，但這還不夠，Laliberte警告說。

他說:“對付勒索軟件需要一個多層防御方法，包括阻止應用程序被利用的入侵防御服務，以及使用機器學習和行為檢測來識別逃避的有效載荷的高級惡意軟件檢測工具。”

員工培訓也很重要，因為大多數傳統的勒索軟件攻擊都是從釣魚郵件開始的。拉利伯特表示，網絡釣魚意識，再加上技術防御工具，可以讓你的組織遠離B0r0nt0K這樣的勒索軟件。

Proven Data的首席執行官Victor Congionti說，防止B0r0nt0K進入您的Linux服務器的最有效的方法是關閉SSH(安全shell)和FTP(文件傳輸協議)端口。

“這是兩種主要的方法……這些黑客的目標似乎是運行加密腳本。該勒索軟件似乎使用了一種將字符轉換為比特的base64算法，這就造成了極其困難的解密過程來重新獲得控制權，”他告訴LinuxInsider。

這些攻擊也可能是通過基本CMS(內容管理系統)漏洞發送的。Congionti指出，如果Linux上的用戶使用CMS來管理他們網站上的內容，這可能是系統安全框架中的一個漏洞。

他指出，網絡罪犯在這些看似安全的應用程序中發現漏洞越來越普遍，這使得他們可以對網絡的安全和權限設置進行重大修改。

Juniper的Hahad指出，大多數網站都是使用源代碼版本控制系統來部署的，該系統可以在任何時候重新部署一個干凈的網站版本。

他表示:“唯一可能造成永久性損害的是，如果使用了內容管理系統數據庫，而且沒有備份，那么該數據庫將受到損害。”

受害者絕對不應該支付贖金。相反，Hahad建議如下:

Stealthbits Technologies副總裁達林?彭德格拉菲特(Darin Pendergraft)說，最后一個建議是假定存在漏洞。

他告訴LinuxInsider說:“做好準備的最好方法是假設你會被入侵，然后采取相應措施保護你的服務器和工作站。”假設攻擊者在您的網絡中，并且控制一個工作站。然后決定他們要竊取或加密哪些數據或IT資源。然后采取額外的步驟來保護這些資源。”

彭德格拉菲表示，當務之急是找到你的敏感數據。這些數據包括病人數據、客戶信息和財務記錄。確保只有經過批準的員工才能訪問它們。監視這些資源，以發現不尋常的文件行為，如批量復制、刪除或文件加密。確保你有一個應急計劃，可以在幾分鐘內做出反應。

“這些措施不會阻止攻擊，”他承認，“但它們可能意味著安全事件與全面入侵之間的區別。”

杰克·m·杰曼自2003年以來一直是ECT新聞網的記者。他主要關注的領域是企業IT、Linux和開源技術。他寫了許多關于Linux發行版和其他開源軟件的評論。杰克的電子郵件。