WannaCry弱爆了!韓國IDC被Erebus軟體勒索683萬
E安全6月21日訊 韓國網路託管公司Nayana於6月10日遭遇勒索軟體攻擊,153台Linux伺服器淪陷,該公司同意支付價值100萬美元(約合683萬人民幣)的比特幣。
本文系E安全獨家編譯報道
這起勒索攻擊導致Nayana託管的3400多個公司網站被加密。Nayana 公司6月12日最初發布公告稱,攻擊者要索要550比特幣(超過160萬 美元)解密被感染的文件。此後,雙方經過協調,攻擊者將勒索金降低到397.6比特幣(約100萬美元)。
Nayana公司宣布將分三期支付贖金,攻擊者根據支付的贖金相應解密受影響的伺服器。目前,Nayana公司已完成前兩期支付,目前正在恢復前兩批伺服器。
Trend Micro揭露,這起攻擊中使用的勒索軟體為「Erebus」。Erebus勒索軟體顯然要比上個月臭名昭著的WannaCry更有收穫,其僅憑攻擊一家公司就讓其金銀滿缽,相比之下儘管WannaCry聲勢浩大,廣撒網,其肆虐幾天收穫不過幾十個比特幣,真所謂沒有比較就沒有傷害。
Erebus勒索軟體於2016年9月初次被發現,今年二月再現江湖,具備Windows User Account Control(Windows用戶賬戶控制)繞過功能。下圖為Trend Micro目前為止公開的有關Linux版Erebus的技術細節。
圖:Erebus發布多語言版本的勒索信(此圖為英文版)
圖:攻擊者演示如何解密加密文件的視頻截圖
企及目標藉助的媒介
Trend
Micro指出,顯然有人將Erebus移植到Linux,並用來瞄準易受攻擊的伺服器。Nayana網站在Linux內核2.6.24.2上運行,編譯時間要追溯到2008年,因此極易遭受大量漏洞利用,為攻擊者提供伺服器的Root訪問許可權,例如「臟牛」(Dirty
Cow,CVE-2016-5195)漏洞。
研究人員表示,Nayana公司網站還使用2006年發布的Apache 1.3.36和PHP 5.1.4,其中包含已知漏洞。攻擊者很有可能利用易受攻擊的Linux安裝作為入侵Nayana系統的切入點。Nayana 使用的Apache 1.3.36作為匿名用戶(uid=99)運行,也許這起攻擊中已利用了本地漏洞。
圖:提交到VirusTotal的Linux版Erebus
Erebus的主要攻擊對象似乎為韓國,但是,VirusTotal顯示,有些Erebu樣本來自烏克蘭和羅馬利亞。Trend Micro認為,可能還有其它研究人員發現了這款惡意軟體。
攻擊者採用複雜的加密程序
一些勒索軟體家族慣於在加密演算法層中打亂文件,例如UIWIX、Cerber的後幾個版本以及DMA Locker,而Erebus將這種做法升級。Erebus加密的每個文件將具有以下格式:
本文系E安全獨家編譯報道
Erebus使用的加密方法複雜,使得在不藉助RSA密鑰的情況下難以解密。這款惡意軟體使用RSA演算法加密AES密鑰,並使用唯一的AES密鑰加密每個被感染的文件。
Trend Micro解釋稱,攻擊者首先通過500kB塊(帶有隨機生成密鑰)中的RC4加密打亂文件,之後通過存儲在文件中的AES加密演算法對RC4密鑰進行編碼。之後,AES密鑰再次通過存儲在該文件中的RSA-2048演算法加密。
雖然每個加密文件都具有RC4和AES密鑰,但RSA-2048公共密鑰時共享的。這些RSA-2048密鑰在本地生成,但私鑰卻通過AES加密和另一個隨機生成的密鑰加密。Trend Micro的分析表明,如果不獲取RSA密鑰,根本不可能完成解密。
被加密的文件類型
研究人員表示,這款惡意軟體針對Office文檔、資料庫、存檔文件和多媒體文件,能加密433個文件類型。然而,這款惡意軟體專門加密Web伺服器以及其中包含的數據。
Erebus針對433個文件類型包括:
Office文檔(.pptx, .docx, .xlsx)
資料庫(.sql、.mdb、 .dbf、.odb)
存檔文件(.zip、.rar)
電郵文件(.eml、.msg)
與網站相關的文件和開發人員項目文件(.html、 .css、 .php、 .java)
多媒體文件(.avi、 .mp4)
圖:Erebus搜索的系統表空間
Trend Micro總結稱,以Nayana為例,Linux是一個越來越受歡迎的操作系統,也是各個行業的組織機構(從伺服器到資料庫,再到Web開發和移動設備)在業務流程中常使用的元素。數據中心和託管/存儲服務提供商通常也在使用運行Linux的設備。
E安全註:本文系E安全獨家編譯報道,轉載請聯繫授權,並保留出處與鏈接,不得刪減內容。
@E安全,最專業的前沿網路安全媒體和產業服務平台,每日提供優質全球網路安全資訊與深度思考。
※Stack Clash漏洞:可提權Unix/Linux系統
※Hack童年遊戲超級馬里奧,看你能否成功奪旗
※30多個DVR品牌現新漏洞,或致永久性Mirai感染
※2億:走進史上規模最大的美國選民數據泄露案
TAG:E安全 |
※J-HOPE再度刷新韓國solo歌手Billboard200記錄
※[星聞]防彈少年團美國「iHeartRadio Music Awards」2冠王...韓國歌手最初
※Acronym疑似再度聯手Nike,AJ3韓國配色曝光,CDG×Converse全新
※[MD PHOTO]韓國新人女團 fromis_9出道showcase
※[MD PHOTO]韓國男團Golden Child第二張迷你專輯showcase
※[MD PHOTO]韓國男團 Forestella出道專輯發售showcase
※秒殺韓國人說的G5版本!我為莆田Balenciaga Triple-s!
※Cryptocurrency Regulator在韓國的家中死亡
※韓國版Otus?Samyang發布50mm f/1.2鏡頭
※韓國版Otus? Samyang發布50mm f/1.2鏡頭
※[星聞]防彈少年團J-Hope《Hope World》...iTunes 63個國家及地區1位!韓國SOLO最多記錄
※2D可愛風《Soul Magic Online》3月中旬韓國上線
※[MD PHOTO]韓國歌手 Junoflo舉行個人專輯showcase
※Cosgirls:韓國coser中的第一美少女Yurisa
※韓國漫改手游《2018 The God of HighSchool》日本預約開始
※致敬韓國籃球文化,Air Jordan 3 「Korea」 即將發售
※韓國漫畫改手游,《2018 The God of HighSchool》日本預約開始
※[MD PHOTO]Chadwick Boseman等人出席 《黑豹》韓國發布會
※[MD PHOTO]韓國女團 WekiMeki第二張迷你專輯showcase
※[MD PHOTO]韓國男團 UP10TION新專輯發售showcase