勒索、挖矿、僵尸网络三合一恶意软件

Windows和 Linux 操作系统的用户需要注意，最新发现了一种针对这2种操作系统的新型恶意软件XBash，该恶意软件具有勒索、挖矿、僵尸网络的3种功能。从目前的信息推断，该恶意软件由中国的黑客组织Iron Group，也被称为Rocke开发，该黑客组织之前曾涉及勒索软件和挖矿恶意软件的攻击行为。

根据网络安全商Palo Alto Networks的信息，这些新型恶意软件具有3合1的功能，可以在局域网内快速传播。该恶意软件使用 Python 语言开发，会自动搜索未受保护的网络服务并删除在Linux服务器上运行的MySQL, PostgreSQL, MongoDB数据库文件。

注意：支付赎金也弥补不了

Xbash一直以来被看作是端口扫描工具，用于TCP, UDP, HTTP, VNC, MySQL/MariaDB, Telnet, FTP, MongoDB, RDP, ElasticSearch, Oracle Database, CouchDB, Rlogin, PostgreSQL等网络端口的扫描，一旦发现了未受保护的网络端口，该恶意软件便会使用弱用户名和密码进行暴力字典攻击，成功登录后便会删除删除数据库文件并留下勒索文件。该恶意软件在用户支付赎金前不会具有任何数据恢复功能。

目前为止已有48位受害者受到了攻击，并已向黑客支付了约6000美元的赎金，但是还没有发现黑客恢复用户数据的证据。该恶意软件针对Linux操作系统还具有僵尸网络的传播危害。

Hadoop, Redis, ActiveMQ软件中的漏洞

XBash针对Windows操作系统主要危害是数字货币挖矿和利用Hadoop, Redis, ActiveMQ软件漏洞进行自主传播：

1、Hadoop YARN ResourceManager在2016年10月出现了一个未经授权的命令行执行漏洞，但没有正式漏洞编号。

2、 Redis 在2015年10月被发现具有远程命令行执行漏洞和相关文件漏洞，但没有正式漏洞编号。

3、ActiveMQ在2016年上半年被发现一个编号为CVE-2016-3088文件权限漏洞。

Xbash在Windows操作系统中一旦找到具有漏洞的文件，就会远程下载恶意JavaScript或VBScript并打开电子货币挖矿程序窗口。而且由于Xbash用Python编写，可以使用PyInstaller将它转换成PE移动执行文件，就可以跨平台传播恶意程序还不会被杀软检测。截至本文发布，只有在Linux平台上发现了该恶意软件的身影，Windows和MacOS平台尚未发现。

用户可以按照以下的步骤检查并防御XBash：

1、更改系统登录密码

2、使用强壮密码

3、及时更新操作系统

4、不要轻易点击链接或下载/打开未知文件

5、定期备份数据

6、使用防火墙防御网络流量