E安全6月22日讯 韩国网络托管公司Nayana于6月10日遭遇勒索软件攻击，153台Linux服务器沦陷，该公司同意支付价值100万美元（约合683万人民币）的比特币。

这起勒索攻击导致Nayana托管的3400多个公司网站被加密。Nayana 公司6月12日最初发布公告称，攻击者要索要550比特币（超过160万 美元）解密被感染的文件。此后，双方经过协调，攻击者将勒索金降低到397.6比特币（约100万美元）。

Nayana公司宣布将分三期支付赎金，攻击者根据支付的赎金相应解密受影响的服务器。目前，Nayana公司已完成前两期支付，目前正在恢复前两批服务器。

Trend Micro揭露，这起攻击中使用的勒索软件为“Erebus”。Erebus勒索软件显然要比上个月臭名昭著的WannaCry更有收获，其仅凭攻击一家公司就让其金银满钵，相比之下尽管WannaCry声势浩大，广撒网，其肆虐几天收获不过几十个比特币，真所谓没有比较就没有伤害。

Erebus勒索软件于2016年9月初次被发现，今年二月再现江湖，具备Windows User Account Control（Windows用户账户控制）绕过功能。下图为Trend Micro目前为止公开的有关Linux版Erebus的技术细节。

图：Erebus发布多语言版本的勒索信（此图为英文版）

图：攻击者演示如何解密加密文件的视频截图

企及目标借助的媒介

Trend Micro指出，显然有人将Erebus移植到Linux，并用来瞄准易受攻击的服务器。Nayana网站在Linux内核2.6.24.2上运行，编译时间要追溯到2008年，因此极易遭受大量漏洞利用，为攻击者提供服务器的Root访问权限，例如“脏牛”（Dirty Cow，CVE-2016-5195）漏洞。

研究人员表示，Nayana公司网站还使用2006年发布的Apache 1.3.36和PHP 5.1.4，其中包含已知漏洞。攻击者很有可能利用易受攻击的Linux安装作为入侵Nayana系统的切入点。Nayana 使用的Apache 1.3.36作为匿名用户（uid=99）运行，也许这起攻击中已利用了本地漏洞。

图：提交到VirusTotal的Linux版Erebus

Erebus的主要攻击对象似乎为韩国，但是，VirusTotal显示，有些Erebu样本来自乌克兰和罗马利亚。Trend Micro认为，可能还有其它研究人员发现了这款恶意软件。

Erebus使用的加密方法复杂，使得在不借助RSA密钥的情况下难以解密。这款恶意软件使用RSA算法加密AES密钥，并使用唯一的AES密钥加密每个被感染的文件。

Trend Micro解释称，攻击者首先通过500kB块（带有随机生成密钥）中的RC4加密打乱文件，之后通过存储在文件中的AES加密算法对RC4密钥进行编码。之后，AES密钥再次通过存储在该文件中的RSA-2018算法加密。

虽然每个加密文件都具有RC4和AES密钥，但RSA-2048公共密钥时共享的。这些RSA-2048密钥在本地生成，但私钥却通过AES加密和另一个随机生成的密钥加密。Trend Micro的分析表明，如果不获取RSA密钥，根本不可能完成解密。

研究人员表示，这款恶意软件针对Office文档、数据库、存档文件和多媒体文件，能加密433个文件类型。然而，这款恶意软件专门加密Web服务器以及其中包含的数据。

Erebus针对433个文件类型包括：

• Office文档（.pptx, .docx, .xlsx）

• 数据库（.sql、.mdb、 .dbf、.odb）

• 存档文件（.zip、.rar）

• 电邮文件（.eml、.msg）

• 与网站相关的文件和开发人员项目文件（.html、 .css、 .php、 .java）

• 多媒体文件（.avi、 .mp4）

图：Erebus搜索的系统表空间

Trend Micro总结称，以Nayana为例，Linux是一个越来越受欢迎的操作系统，也是各个行业的组织机构（从服务器到数据库，再到Web开发和移动设备）在业务流程中常使用的元素。数据中心和托管/存储服务提供商通常也在使用运行Linux的设备。