AvosLocker是2021年发现的勒索软件组织，专门针对Windows计算机，不过近期捕获到了针对Linux平台的新型变种。

历史上，攻击者或AvosLocker勒索软件组的附属公司正在使用Proxyshell来利用Microsoft Exchange Server漏洞，损害受害者的网络，例如CVE-2021-34473，CVE-2021-31206，CVE-2021-34523和CVE-2021-31207。 一旦攻击者访问计算机，他们就会部署mimikatz来转储密码。攻击者可以使用标识的密码获取对域控制器的RDP访问权限，从而从受感染的计算机中泄露数据。最后，攻击者将AvosLocker勒索软件部署在受害者系统上，以加密受害者的文档和文件，而新的针对Linux平台变种则有不同的行为。

技术分析

基于对新变种的静态分析，我们发现恶意文件是基于x64的可执行的ELF文件，如图1所示。

图1-静态ELF文件详细信息

在Linux计算机上执行AvosLocker勒索软件时，它会指示用户运行一个命令，该命令具有指定要加密的目录路径的参数。此外，该命令还有另一个参数，该参数表示加密过程中要涉及的线程数。内置的多线程处理功能可帮助攻击者更快地加密文件，如图2所示。

图2-恶意软件指示驱动器路径

执行后，AvosLocker会检查是否存在VMware Elastic Sky X Integrated（ESXi）、虚拟机文件系统（VMFS），并使用下图中给出的命令杀死正在运行的虚拟机（VM）。

图3-终止ESXi虚拟机的命令

下图显示恶意软件将扩展名.avoslinux附加在加密受害者计算机上的文件名后。

图4-加密后追加文件扩展名

在加密文件之前，恶意软件使用互斥锁/解锁API执行线程同步操作，以避免加密过程冲突，如图5所示。

图5-线程同步加密文件

加密文件的内容在文件末尾具有base64编码的内容。如下图所示，目前有理由怀疑base64编码的数据包含用于加密文件的加密密钥。

图6-加密文件内容

在开始加密过程之前，恶意软件会在特定驱动器中删除名称为README_FOR_RESTORE.txt的赎金记录，然后，像其他勒索软件组一样，攻击者指示受害者访问TOR网站，如下图所示：

图7-赎金票据

当受害者访问AvosLocker的TOR网站时，它会要求赎金票据上给出的ID以继续进行付款过程，如下图所示：

图8-AvosLocker的TOR网站

一旦受害者输入ID，网站将重定向到付款页面，攻击者指示受害者支付1000000.00美元或4629.63门罗币或28.61比特币，如果受害者不在截止日期前支付赎金，赎金金额将翻倍。

对于通过门罗币付款，攻击者提供了门罗币ID和付款ID，如图9所示：

图9-AvosLocker的付款页面

其他

当受害者未能支付赎金时，攻击者会在其泄密网站上泄露了受害者的详细信息。下图显示了Avoslocker泄漏网站与最近的受害者：

图10-泄漏站点上提到的受害者名单

此外，泄漏网站指出，攻击者提到了一个提供勒索软件即服务（RaaS）的联盟计划，其中包括了联盟面板，呼叫服务等，如下图所示：

图11-AvosLocker的合作伙伴计划

勒索软件组织正在寻求支持，以在美国、加拿大、英国和澳大利亚等国家/地区扩展其网络犯罪勒索软件业务，如下图所示：

图12-网络罪案论坛上的帖子

结论

通过分析，Linux平台可能有新版本的AvosLocker勒索软件，在最新版本中，网络犯罪分子添加了一个独特的代码，以使用新的策略来发展其Raas服务（勒索即服务），籍此针对ESXi和VMFS机器。因此，可以认为，AvosLocker勒索软件即将推出的变体可能会以增强形式出现。

建议

下文列出了一些基本的网络安全最佳实践，这些实践可以创建针对攻击者的第一道防线。我们建议用户遵循以下准则：

防止勒索软件攻击所需的安全措施

• 执行定期备份实践，并将这些备份保持脱机或保存在单独的网络中。

• 在尽可能实用的情况下，在计算机、移动设备和其它连接的设备上打开自动软件更新功能。

• 在连接的设备（包括 PC、笔记本电脑和移动设备）上使用知名的防病毒和互联网安全软件包。

• 避免在未验证其真实性的情况下打开不受信任的链接和电子邮件附件。

用户应在勒索软件攻击后采取以下步骤

• 隔离同一网络上受感染的设备；

• 断开外部存储设备（如果已连接）的连接；

• 检查系统日志中是否有可疑事件。