查看原文
其他

WannaCry弱爆了!韩国IDC被Erebus软件勒索683万

2017-06-22 E安全 E安全

更多全球网络安全资讯尽在E安全官网www.easyaq.com


E安全6月22日讯 韩国网络托管公司Nayana于6月10日遭遇勒索软件攻击,153台Linux服务器沦陷,该公司同意支付价值100万美元(约合683万人民币)的比特币。

这起勒索攻击导致Nayana托管的3400多个公司网站被加密。Nayana 公司6月12日最初发布公告称,攻击者要索要550比特币(超过160万 美元)解密被感染的文件。此后,双方经过协调,攻击者将勒索金降低到397.6比特币(约100万美元)。

Nayana公司宣布将分三期支付赎金,攻击者根据支付的赎金相应解密受影响的服务器。目前,Nayana公司已完成前两期支付,目前正在恢复前两批服务器。

Trend Micro揭露,这起攻击中使用的勒索软件为“Erebus”。Erebus勒索软件显然要比上个月臭名昭著的WannaCry更有收获,其仅凭攻击一家公司就让其金银满钵,相比之下尽管WannaCry声势浩大,广撒网,其肆虐几天收获不过几十个比特币,真所谓没有比较就没有伤害

Erebus勒索软件于2016年9月初次被发现,今年二月再现江湖,具备Windows User Account Control(Windows用户账户控制)绕过功能。下图为Trend Micro目前为止公开的有关Linux版Erebus的技术细节。

图:Erebus发布多语言版本的勒索信(此图为英文版)

图:攻击者演示如何解密加密文件的视频截图

企及目标借助的媒介

Trend Micro指出,显然有人将Erebus移植到Linux,并用来瞄准易受攻击的服务器。Nayana网站在Linux内核2.6.24.2上运行,编译时间要追溯到2008年,因此极易遭受大量漏洞利用,为攻击者提供服务器的Root访问权限,例如“脏牛”(Dirty Cow,CVE-2016-5195)漏洞。

研究人员表示,Nayana公司网站还使用2006年发布的Apache 1.3.36和PHP 5.1.4,其中包含已知漏洞。攻击者很有可能利用易受攻击的Linux安装作为入侵Nayana系统的切入点。Nayana 使用的Apache 1.3.36作为匿名用户(uid=99)运行,也许这起攻击中已利用了本地漏洞。

图:提交到VirusTotal的Linux版Erebus

Erebus的主要攻击对象似乎为韩国,但是,VirusTotal显示,有些Erebu样本来自乌克兰和罗马利亚。Trend Micro认为,可能还有其它研究人员发现了这款恶意软件。

攻击者采用复杂的加密程序

一些勒索软件家族惯于在加密算法层中打乱文件,例如UIWIX、Cerber的后几个版本以及DMA Locker,而Erebus将这种做法升级。Erebus加密的每个文件将具有以下格式:

Erebus使用的加密方法复杂,使得在不借助RSA密钥的情况下难以解密。这款恶意软件使用RSA算法加密AES密钥,并使用唯一的AES密钥加密每个被感染的文件。

Trend Micro解释称,攻击者首先通过500kB块(带有随机生成密钥)中的RC4加密打乱文件,之后通过存储在文件中的AES加密算法对RC4密钥进行编码。之后,AES密钥再次通过存储在该文件中的RSA-2018算法加密。

虽然每个加密文件都具有RC4和AES密钥,但RSA-2048公共密钥时共享的。这些RSA-2048密钥在本地生成,但私钥却通过AES加密和另一个随机生成的密钥加密。Trend Micro的分析表明,如果不获取RSA密钥,根本不可能完成解密。

被加密的文件类型

研究人员表示,这款恶意软件针对Office文档、数据库、存档文件和多媒体文件,能加密433个文件类型。然而,这款恶意软件专门加密Web服务器以及其中包含的数据。

Erebus针对433个文件类型包括:

  • Office文档(.pptx, .docx, .xlsx)

  • 数据库(.sql、.mdb、 .dbf、.odb)

  • 存档文件(.zip、.rar)

  • 电邮文件(.eml、.msg)

  • 与网站相关的文件和开发人员项目文件(.html、 .css、 .php、 .java)

  • 多媒体文件(.avi、 .mp4)

图:Erebus搜索的系统表空间

Trend Micro总结称,以Nayana为例,Linux是一个越来越受欢迎的操作系统,也是各个行业的组织机构(从服务器到数据库,再到Web开发和移动设备)在业务流程中常使用的元素。数据中心和托管/存储服务提供商通常也在使用运行Linux的设备。

22
E安全推荐文章

官网:www.easyaq.com

2017年6月

01两款新型Linux恶意软件:一个感染树莓派挖加密货币,一个创建代理网络
02曼彻斯特恐袭之后,欧洲“加密战”再升温
03移动加密市场强劲,未来5年规模将达到132亿元
04NSA EsteemAudit工具或会触发WannaCry般的攻击
05MacRansom:首款以RaaS服务形式出现的Mac勒索软件
064款勒索病毒“WannaCry”的衍生变种
07黑客发布GitHub密钥定位工具“TruffleHog”
08NSA有能力从思科PIX固件中提取VPN密钥?
09网络摄像机的四大恶意软件家族:相互抢地盘!
102017年上半年11大知名恶意软件


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存