【安全资讯】Mallox勒索软件跨平台扩展：新发现的Linux变种及解密器发布

概要：

Mallox勒索软件团伙以其激进的多重勒索策略而闻名，最近他们扩展了其武器库，推出了一个新的Linux变种。这标志着该团伙从传统上针对Windows系统的.NET负载转向了Linux系统，显示出其攻击能力的显著提升。

主要内容：

Mallox勒索软件的新变种通过定制的Python脚本攻击Linux系统。Uptycs威胁研究团队在调查中发现了一个名为web_server.py的关键Python脚本。该脚本是一个基于Flask的网络面板的一部分，用于创建和管理针对Linux系统的勒索软件负载。脚本通过环境变量连接到后端数据库，包含用户认证、构建管理和行政任务等功能，使管理员能够快速定制勒索软件。

该应用程序还具有构建聊天界面和自定义404错误页面的功能。web_server.py脚本托管了一个Mallox勒索软件的加密器和解密器，供注册用户使用。勒索软件加密用户数据，并在加密文件中附加.locked扩展名，同时生成名为READ_THIS_NOW.txt的勒索信。负载交付和受害者信息的外泄通过定制脚本处理，主机IP字段中识别出一个IP地址（185[.]73[.]125[.]6），用于构建勒索软件。

Linux变种采用AES-256 CBC加密，使用硬编码的密钥和初始化向量（IV）。这意味着虽然勒索软件可以使用“.lmallox”扩展名加密文件，但相同的密钥和IV可以用来解密它们。Uptycs团队成功恢复了多个Mallox构建的解密器，为受害者提供了潜在的救济。勒索软件的配置，包括勒索信、客户端ID、BTC地址、金额、截止日期、Tox聊天ID、笔记名称、持久性、目标ID和目标目录，嵌入在加密内容中。受Mallox勒索软件Linux变种加密文件的受害者可以使用在185[.]73[.]125[.]6/output/{build-id}/decryptor找到的解密器恢复数据。