长期以来，Linux一直被视为比Windows更安全的操作系统，但这一声誉正面临考验。

一个名为Pay2Key、被归因于伊朗威胁行为者的勒索软件团伙，已开发出Linux变种，并正积极瞄准企业服务器、虚拟化主机及云工作负载。

该恶意软件于2025年8月下旬首次在野外被发现，其技术设计表明，运营者追求的是规模化、可靠性和速度，而非隐蔽性。

Pay2Key在威胁领域并非新面孔。该团伙曾有过活动减弱的时期，但此次推出针对Linux的特定变种，标志着其目标策略的刻意转变。

与专注于桌面环境的传统勒索软件不同，Pay2Key的Linux版本直指基础设施层——即组织日常依赖的服务器和系统。

一旦入侵成功，它不仅会加密文件，还会系统地瓦解可能阻碍其行动的防御措施。

Morphisec研究人员识别了该恶意软件样本，并指出Linux变种Pay2Key.I2由配置驱动，且需要root级权限才能执行。

这意味着该勒索软件以最高系统访问权限运行，从而完全控制文件系统和核心操作系统功能。

运营者并不依赖执行后的权限提升——他们设计有效载荷仅在已获得完全访问权限后才运行。

此勒索软件对运行Linux基础架构的组织影响巨大。托管数据库、应用程序后端和虚拟机的服务器成为首要目标。

众多企业依赖以维持连续不间断运营的云工作负载，同样面临风险。

该恶意软件能够分类不同类型的已挂载文件系统并有选择性地进行加密，这意味着它能在造成最大破坏的同时，保持主机基本运行，以便发出赎金要求。

更广泛的担忧在于，在公开安全研究中，Linux勒索软件仍属于记录最少的威胁类别之一。

Pay2Key的Linux版本清晰地展示了威胁行为者如何填补这一空白——开发出许多组织尚未准备好防御的工具。

加密机制与防御规避

在Pay2Key开始加密文件之前，它会首先准备环境，确保无碍。

该恶意软件会停止运行中的服务，终止活动进程，并禁用Linux两大安全框架——SELinux和AppArmor。

这实际上在加密程序启动之前，就剥夺了主机的主动安全防御能力。

为了确保重启后仍能存活，该恶意软件会安装一个cron条目，使其在系统重启时再次触发。

这种持久化机制意味着，即使系统管理员发现问题并重启了服务器，勒索软件也能从中断处继续执行。

在文件定位方面，Pay2Key会枚举/proc/mounts来构建文件系统地图。它会过滤掉伪文件系统，并将挂载点分类为只读、可移动或其他类型。

它会完全跳过只读挂载点，并且在处理单个文件时，刻意避开ELF和MZ二进制文件以及零长度文件——从而降低操作过程中导致主机崩溃的可能性。

加密使用ChaCha20算法，根据配置文件决定采用全文件加密或部分加密模式。

一个硬编码字符串"DontDecompileMePlease"嵌入在二进制文件中，在元数据密钥派生和元数据布局验证中都起着关键作用。

每个文件的密钥都会生成并存储在一个混淆的元数据块中，使得没有解密密钥的情况下几乎无法恢复。

运行Linux基础架构的安全团队应对root级访问权限实施严格控制，并审计哪些账户拥有提升的权限。

禁用非管理用户创建非必要cron作业的能力，可以降低持久化机制生效的风险。

各组织还应主动监控任何意外禁用SELinux或AppArmor的行为，因为这是勒索软件正在执行的有力指标。

维护关键数据的离线、不可变备份，仍然是无需支付赎金即可恢复数据的最有效方法之一。