最近有一种病毒盛行，但没打算要赎金

该病毒正在寻找Windows和Linux服务器：一个具有自我扩展功能的僵尸网络，结合了加密和勒索软件功能。

新病毒的名字是Xbash，它寻找受弱密码保护的系统和使用未修补的已知漏洞运行的计算机。

Palo Alto Networks的第42单元的安全研究人员分析了Xbash并注意到它的勒索软件和僵尸网络天赋是为Linux系统保留的，有明确的删除数据库的指令; 虽然恶意软件在Windows机器上的活动仅限于加密货币挖掘和自我传播例程，这些例程利用Hadoop，Redis和ActiveMQ服务中的已知安全漏洞。

NotPetya已经见过此类型病毒

研究人员表示，Xbash的勒索软件只能用于展示，因为恶意软件在其运营商收到赎金后无法恢复数据库。

恶意软件发现不受保护的服务并删除MySQL，PostgreSQL和MongoDB数据库。

一些受害者已经因为勒索软件骗局而支付了这笔钱。与发布者相关的资金来源在发布时的收入为0.964 BTC，来自48个交易，这些交易表明来自同样多的受害者的付款。

恶意软件的其他功能指向NotPetya作为灵感来源，例如在组织网络内快速传播到易受攻击的服务器的能力。但是，扫描功能还没有实现。

暴力攻击但却放弃赎金

Xbash可以在TCP和UDP端口上扫描目标IP上的多个服务。该列表包括HTTP，VNC，MySQL，Memcached，FTP，Telnet，ElasticSearch，RDP，UPnP，NTP，DNS，SNMP，Rlogin，LDAP，CouchDB和Oracle数据库。

对于其中一些，当它找到一个开放端口时，它会使用内置字典中的弱用户名和密码组合进行暴力攻击。

登录后，恶意软件会删除服务器上不包含用户登录信息的数据库，并创建一个保存赎金票据的新数据库。

Xbash运营商要求将0.02BTC（约125美元）发送到他们的钱包，并承诺恢复数据。

Xbash是用Python开发的，然后使用PyInstaller转换为Portable Executable（PE）格式。这种策略具有多种优势，有助于逃避检测，确保在各种Linux实例上的安装和执行，以及为Windows，Linux和macOS创建二进制文件的可能性。

尽管研究人员仅针对Linux发现了样本，但恶意软件能够确定运行易受攻击服务的操作系统，并提供适当的负载。

在Windows上，它将发送一个JavaScript或VBScript下载程序来获取并执行coinminer。在Linux上，它运行勒索软件例程。

Xbash代表了恶意软件发展的一个新阶段，它融合了旨在确保其成功的功能和策略组合。这是一个活跃的威胁，Unit42称为Iron Group，以其他勒索软件攻击而闻名。