韓國網路託管公司Nayana向勒索軟體黑客支付100萬美元

據外媒6月12日報道，韓國網路託管公司 Nayana 上周末（6月10日）遭受網路攻擊，導致旗下153台Linux 伺服器與3,400個網站感染Erebus勒索軟體。近日，該公司在努力無果的情況下，向勒索黑客支付價值100萬美元的比特幣，來解密鎖定的文件。

在此次勒索事件中，勒索軟體Erebus濫用了Event Viewer提權，允許實現用戶賬戶控制（UAC）繞過，即用戶不會收到允許以較高許可權運行程序的提示。此外，勒索軟體Erebus還可將自身複製到任意一個隨機命名的文件中修改Window註冊表，以劫持與.msc文件擴展名相關內容。

一旦60種目標文件擴展名遭Erebus加密，桌面就會出現一張贖金交納通知，要求受害者支付550比特幣（超過160萬美元）的贖金來解鎖加密文件。受害者在點擊「恢復文件」後頁面將跳轉至Erebus Tor支付網站。

事件發生後，韓國互聯網安全局、國家安全機構已與警方展開聯合調查，Nayana公司也表示，他們會積極配合，儘快重新獲取伺服器控制許可權。可想而知，在努力無果後，Nayana公司最終還是選擇以支付贖金的方式換取其伺服器的控制許可權。

據悉，該公司後來與網路犯罪分子進行談判，最終同意分3期支付397.6比特幣（約合101萬美元），以解密其鎖定文件。在撰寫本文時，該網路託管公司已經支付了2期的贖金，在2/3受感染設備中的數據恢復後，該公司將支付最後一期的贖金。

根據網路安全公司趨勢科技所言，此次攻擊使用的Erebus勒索軟體首次發現於2016年9月份。由於Nayana的主機伺服器在Linux內核2.6.24.2上運行，所以研究人員認為，Erebus Linux勒索軟體可能已經使用了一些已知的漏洞，如DIRTY COW（臟牛）；或是利用本地Linux漏洞來接管系統的root訪問許可權。

【贖金支付通知】

研究人員指出，

NAYANA使用的Apache版本是以nobody（uid = 99）的用戶身份運行的，這表明攻擊中也使用了本地Linux漏洞。此外，NAYANA的網站使用的主要是Apache版本1.3.36和PHP版本5.1.4，兩者均是2006年發布的。

Erebus是一款主要針對韓國用戶的勒索軟體，使用RSA-2048演算法對辦公文件、資料庫、文檔以及多媒體文件進行加密，然後在顯示贖金通知之前附加一個.ecrypt擴展名。

研究人員稱，該文件首先用具有隨機生成鍵的500k Bblocks中的RC4加密進行加擾，然後使用AES加密演算法（該加密演算法存儲在文件中）對RC4密鑰進行編碼，最後AES密鑰再次使用RSA-2018演算法（也存儲在文件中）進行加密。

本地生成的公共密鑰是共享的，而私鑰是使用AES加密和另外一種隨機生成的密鑰加密而成的。根據趨勢科技研究人員進行的分析發現，在沒有拿到RSA密鑰的情況下對感染文件進行解密是無法實現的。這也正是NAYANA最終選擇支付贖金的原因所在。

所以，可以說，處理勒索軟體攻擊唯一安全的方法就是預防。而對勒索軟體最好的預防方式就是提高組織內部人員的安全意識，並保持定期備份。

大多數的病毒都是通過打開受感染的附件或點擊垃圾郵件中的惡意軟體鏈接造成的。所以，請謹記，不要點擊任何來自未知來源的電子郵件和附件中提供的鏈接。此外，還要始終確保你的系統運行的是最新版本的應用程序。

*參考來源：thehackernews，米雪兒編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！