據(jù)外媒6月12日?qǐng)?bào)道,韓國網(wǎng)絡(luò)托管公司 Nayana 上周末(6月10日)遭受網(wǎng)絡(luò)攻擊,導(dǎo)致旗下153臺(tái)Linux 服務(wù)器與3,400個(gè)網(wǎng)站感染Erebus勒索軟件。近日,該公司在努力無果的情況下,向勒索黑客支付價(jià)值100萬美元的比特幣,來解密鎖定的文件。
在此次勒索事件中,勒索軟件Erebus濫用了Event Viewer提權(quán),允許實(shí)現(xiàn)用戶賬戶控制(UAC)繞過,即用戶不會(huì)收到允許以較高權(quán)限運(yùn)行程序的提示。此外,勒索軟件Erebus還可將自身復(fù)制到任意一個(gè)隨機(jī)命名的文件中修改Window注冊(cè)表,以劫持與.msc文件擴(kuò)展名相關(guān)內(nèi)容。
一旦60種目標(biāo)文件擴(kuò)展名遭Erebus加密,桌面就會(huì)出現(xiàn)一張贖金交納通知,要求受害者支付550比特幣(超過160萬美元)的贖金來解鎖加密文件。受害者在點(diǎn)擊“恢復(fù)文件”后頁面將跳轉(zhuǎn)至Erebus Tor支付網(wǎng)站。
事件發(fā)生后,韓國互聯(lián)網(wǎng)安全局、國家安全機(jī)構(gòu)已與警方展開聯(lián)合調(diào)查,Nayana公司也表示,他們會(huì)積極配合,盡快重新獲取服務(wù)器控制權(quán)限。可想而知,在努力無果后,Nayana公司最終還是選擇以支付贖金的方式換取其服務(wù)器的控制權(quán)限。
據(jù)悉,該公司后來與網(wǎng)絡(luò)犯罪分子進(jìn)行談判,最終同意分3期支付397.6比特幣(約合101萬美元),以解密其鎖定文件。在撰寫本文時(shí),該網(wǎng)絡(luò)托管公司已經(jīng)支付了2期的贖金,在2/3受感染設(shè)備中的數(shù)據(jù)恢復(fù)后,該公司將支付最后一期的贖金。
根據(jù)網(wǎng)絡(luò)安全公司趨勢(shì)科技所言,此次攻擊使用的Erebus勒索軟件首次發(fā)現(xiàn)于2016年9月份。由于Nayana的主機(jī)服務(wù)器在Linux內(nèi)核2.6.24.2上運(yùn)行,所以研究人員認(rèn)為,Erebus Linux勒索軟件可能已經(jīng)使用了一些已知的漏洞,如DIRTY COW(臟牛);或是利用本地Linux漏洞來接管系統(tǒng)的root訪問權(quán)限。
【贖金支付通知】
研究人員指出,
NAYANA使用的Apache版本是以nobody(uid = 99)的用戶身份運(yùn)行的,這表明攻擊中也使用了本地Linux漏洞。此外,NAYANA的網(wǎng)站使用的主要是Apache版本1.3.36和PHP版本5.1.4,兩者均是2006年發(fā)布的。
Erebus是一款主要針對(duì)韓國用戶的勒索軟件,使用RSA-2048算法對(duì)辦公文件、數(shù)據(jù)庫、文檔以及多媒體文件進(jìn)行加密,然后在顯示贖金通知之前附加一個(gè).ecrypt擴(kuò)展名。
研究人員稱,該文件首先用具有隨機(jī)生成鍵的500k Bblocks中的RC4加密進(jìn)行加擾,然后使用AES加密算法(該加密算法存儲(chǔ)在文件中)對(duì)RC4密鑰進(jìn)行編碼,最后AES密鑰再次使用RSA-2018算法(也存儲(chǔ)在文件中)進(jìn)行加密。
本地生成的公共密鑰是共享的,而私鑰是使用AES加密和另外一種隨機(jī)生成的密鑰加密而成的。根據(jù)趨勢(shì)科技研究人員進(jìn)行的分析發(fā)現(xiàn),在沒有拿到RSA密鑰的情況下對(duì)感染文件進(jìn)行解密是無法實(shí)現(xiàn)的。這也正是NAYANA最終選擇支付贖金的原因所在。
所以,可以說,處理勒索軟件攻擊唯一安全的方法就是預(yù)防。而對(duì)勒索軟件最好的預(yù)防方式就是提高組織內(nèi)部人員的安全意識(shí),并保持定期備份。
大多數(shù)的病毒都是通過打開受感染的附件或點(diǎn)擊垃圾郵件中的惡意軟件鏈接造成的。所以,請(qǐng)謹(jǐn)記,不要點(diǎn)擊任何來自未知來源的電子郵件和附件中提供的鏈接。此外,還要始終確保你的系統(tǒng)運(yùn)行的是最新版本的應(yīng)用程序。
| 
