研究組的蘇哥就給我們講了這么個故事。

今年9月1日，國外知名的Uptycs威脅團隊發布了一篇針對Linux系統的勒索病毒的分析文章，簡要描述了該勒索病毒的加密行為并提供了檢測思路。

她眉頭一皺，發現事情不對，趕緊叫上經驗豐富的俊哥一起看，這個勒索病毒，似曾相識！

“這和我們收錄的今年5月發現的專門針對Windows系統的DarkAngels勒索病毒極為相似，這個病毒已經成功攻擊過國外五六個企業，當時我們就更新了規則，也及時防止了我們的用戶被攻擊。但如果黑客開發了新的專門針對Linux系統的病毒，那風險又存在了。”

研究組的小伙伴們馬上兵分兩路，一隊通過收集自己平臺捕獲過的疑似樣本，另一隊通過國內外各大平臺、安全廠商博客、威脅情報平臺等對這個勒索病毒進行樣本收集。

經過對樣本的詳細分析發現，該勒索病毒中需要給定的加密路徑、釋放的勒索信內容、被加密文件擴展名及加密邏輯等一系列行為，包括進一步比對樣本之間底層代碼邏輯、部分功能模塊等，這兩個病毒確實為同源家族，只是針對的系統不同。

幸運的是，針對Linux系統的這個勒索病毒，勒索信中的onion鏈接似乎處于關閉狀態，表明這種新型的專門針對Linux系統的勒索軟件可能仍處于開發中，尚不會造成危害。

研究組小伙伴第一時間在EDR上增加了對該勒索病毒的檢測和阻斷規則，深盾終端實驗室也成為了國內首發該勒索病毒（針對Linux系統）通告的團隊。

“追蹤研究病毒不僅僅只是為了優化我們自己的產品，我們也希望讓大家知道現在出現了什么新的風險點。因為病毒擴散的速度是很快的，慢一步可能就會有更多用戶有遭受損失的風險。”

從成立至今，深盾終端實驗室已累計首發了80多個熱點病毒家族，深度跟蹤發現勒索病毒如Mallox、Hello、Chaos等，挖礦病毒家族如Audliodg、WorkMiner、AutoUpdate等發多個熱點病毒家族，挖礦病毒家族如Audliodg、WorkMiner、AutoUpdate等。