前言

美国网络信息安全公司CrowdStrike在2021年的攻击数据报告中，总结与2020年度相比，2021年度针对Linux系统的恶意软件增加了35%，其实最近几年针对Linux平台下的恶意软件数据一直在不断的增加，这些恶意软件主要包含僵尸网络、挖矿病毒、勒索病毒、远控木马等，随着云计算平台的发展，针对Linux平台进行攻击的恶意软件家族会越来越多。[出自:jiwo.org]
几年前Sodinokibi(REvil)勒索病毒黑客组织的14名主要成员被俄罗斯政府联邦安全局(FSB)逮捕，突袭执法行动，当局扣押了数量可观的赃款赃物，包括超过4.26亿卢布（包含加密货币，约合3550万元人民币）、60万美元和50万欧元现金，20辆豪华汽车，并查封了作案所使用的电脑设备以及加密货币电子钱包。
虽然Sodinokibi(REvil)部分成员被捕了，这款勒索病毒己经消亡了，就像此前的GandCrab一样，但是勒索攻击仍然会继续，马上会有新的勒索病毒家族代替Sodinokibi勒索病毒，勒索病毒黑客组织会持续开发新的勒索病毒，发起新的攻击，未来几年勒索攻击仍然将是全球最大的网络安全威胁之一。
笔者给大家盘点了针对Linux平台的勒索病毒家族，这些都是全球主流的勒索病毒家族，每一款勒索病毒家族后面可能都是一个技术相对成熟的黑客组织，未来这些勒索病毒黑客组织还会持续针对Linux平台发起攻击活动，如下所示：

勒索病毒

eCh0raix勒索病毒

eCh0raix勒索病毒是一款专门针对NSA装置而设计的勒索病毒，采用Go/Golang语言编写，加密后的文件，如下所示：

生成的勒索提示信息文件，内容如下所示：

Babuk勒索病毒

Babuk勒索病毒，也被称为Babyk，该勒索病毒被用于针对企业进行双重勒索攻击活动，不仅加密企业的数据，而且还会窃取企业的核心数据，加密后的文件，如下所示：

TellYouThePass勒索病毒

TellYouThePass勒索病毒，曾经利用永恒之蓝漏洞和Apache Log4j CVE-2021-44228漏洞发起攻击，加密后的文件，如下所示：

生成的勒索提示信息文件，内容如下所示：

BlackCat勒索病毒

BlackCat勒索病毒采用了Rust语言编写，通过命令行调用，可灵活配置绝大部分参数，同时采用RSA+AES/ChaCha20的方式加密磁盘文件，加密后的文件，如下所示：

生成的勒索提示信息文件，内容如下所示：

HelloKitty勒索病毒

HelloKitty勒索病毒，曾针对SonicWall设备发起攻击，加密后的文件，如下所示：

生成的勒索提示信息文件，内容如下所示：

DarkSide勒索病毒

DarkSide勒索病毒曾对美国燃油管道系统Colonial Pipeline发起勒索攻击，加密后的文件，如下所示：

生成的勒索提示信息文件，内容如下所示：

Sodinokibi(REvil)勒索病毒

Sodinokibi(REvil)勒索病毒黑客组织曾利用0day漏洞，通过Kaseya VSA发起大规模供应链攻击行动，加密后的文件，如下所示：

生成的勒索提示信息文件，内容如下所示：

DarkRadiation勒索病毒

DarkRadiation勒索病毒是一款针Linux系统平台的新型勒索病毒，此次攻击的大部分组件主要针对 Red Hat 和 CentOS Linux 发行版，但是在某些脚本中也包含基于 Debian 的 Linux 发行版，同时还会对Docker应用进行相关的攻击，该勒索病毒样本主要采用Bash编写，生成的勒索提示信息，内容如下所示：

Hive勒索病毒

Hive勒索病毒采用GO语言编写，加密算法使用AES+RSA，同时这款勒索病毒也采用了“双重”勒索的模式，通过在暗网上公布受害者数据，来逼迫受害者交纳赎金，加密后的文件，如下所示：

生成的勒索提示信息文件，内容如下所示：

AvosLocker勒索病毒

AvosLocker勒索病毒在2021年6月底被发现，全球各地都有企业遭受攻击，赎金要求从5万美元到7.5万美元不等，加密后的文件，如下所示：

生成的勒索提示信息，内容如下所示：

SFile勒索病毒

SFile勒索病毒又称Escal，最早出现于2020年,近期发现了它的Linux版，加密后的文件后缀名为：nuctech-gj0okyci，如下所示：

之前比较流行的Satan勒索病毒、XBash勒索病毒、Lucky勒索病毒等，有大部分以前主要都是针对Windows平台的，后面慢慢发展到了Linux平台，通过这些针对Linux平台的勒索病毒家族可以预见，未来会有越来越多的勒索病毒黑客组织开始针对Windows和Linux两个平台同时发起勒索攻击。