您所在的位置:博狗开户>彩票专家>www.6686hg.ws·WannaCry弱爆了!韩国IDC被Erebus软件勒索683万

www.6686hg.ws·WannaCry弱爆了!韩国IDC被Erebus软件勒索683万

2020-01-07 09:49:25

www.6686hg.ws·WannaCry弱爆了!韩国IDC被Erebus软件勒索683万

www.6686hg.ws,e安全6月21日讯 韩国网络托管公司nayana于6月10日遭遇勒索软件攻击,153台linux服务器沦陷,该公司同意支付价值100万美元(约合683万人民币)的比特币。

本文系e安全独家编译报道

这起勒索攻击导致nayana托管的3400多个公司网站被加密。nayana 公司6月12日最初发布公告称,攻击者要索要550比特币(超过160万 美元)解密被感染的文件。此后,双方经过协调,攻击者将勒索金降低到397.6比特币(约100万美元)。

nayana公司宣布将分三期支付赎金,攻击者根据支付的赎金相应解密受影响的服务器。目前,nayana公司已完成前两期支付,目前正在恢复前两批服务器。

trend micro揭露,这起攻击中使用的勒索软件为“erebus”。erebus勒索软件显然要比上个月臭名昭著的wannacry更有收获,其仅凭攻击一家公司就让其金银满钵,相比之下尽管wannacry声势浩大,广撒网,其肆虐几天收获不过几十个比特币,真所谓没有比较就没有伤害。

erebus勒索软件于2016年9月初次被发现,今年二月再现江湖,具备windows user account control(windows用户账户控制)绕过功能。下图为trend micro目前为止公开的有关linux版erebus的技术细节。

图:erebus发布多语言版本的勒索信(此图为英文版)

图:攻击者演示如何解密加密文件的视频截图

企及目标借助的媒介

研究人员表示,nayana公司网站还使用2006年发布的apache 1.3.36和php 5.1.4,其中包含已知漏洞。攻击者很有可能利用易受攻击的linux安装作为入侵nayana系统的切入点。nayana 使用的apache 1.3.36作为匿名用户(uid=99)运行,也许这起攻击中已利用了本地漏洞。

图:提交到virustotal的linux版erebus

erebus的主要攻击对象似乎为韩国,但是,virustotal显示,有些erebu样本来自乌克兰和罗马利亚。trend micro认为,可能还有其它研究人员发现了这款恶意软件。

攻击者采用复杂的加密程序

一些勒索软件家族惯于在加密算法层中打乱文件,例如uiwix、cerber的后几个版本以及dma locker,而erebus将这种做法升级。erebus加密的每个文件将具有以下格式:

本文系e安全独家编译报道

erebus使用的加密方法复杂,使得在不借助rsa密钥的情况下难以解密。这款恶意软件使用rsa算法加密aes密钥,并使用唯一的aes密钥加密每个被感染的文件。

trend micro解释称,攻击者首先通过500kb块(带有随机生成密钥)中的rc4加密打乱文件,之后通过存储在文件中的aes加密算法对rc4密钥进行编码。之后,aes密钥再次通过存储在该文件中的rsa-2048算法加密。

虽然每个加密文件都具有rc4和aes密钥,但rsa-2048公共密钥时共享的。这些rsa-2048密钥在本地生成,但私钥却通过aes加密和另一个随机生成的密钥加密。trend micro的分析表明,如果不获取rsa密钥,根本不可能完成解密。

被加密的文件类型

研究人员表示,这款恶意软件针对office文档、数据库、存档文件和多媒体文件,能加密433个文件类型。然而,这款恶意软件专门加密web服务器以及其中包含的数据。

erebus针对433个文件类型包括:

office文档(.pptx, .docx, .xlsx)

数据库(.sql、.mdb、 .dbf、.odb)

存档文件(.zip、.rar)

电邮文件(.eml、.msg)

与网站相关的文件和开发人员项目文件(.html、 .css、 .php、 .java)

多媒体文件(.avi、 .mp4)

图:erebus搜索的系统表空间

trend micro总结称,以nayana为例,linux是一个越来越受欢迎的操作系统,也是各个行业的组织机构(从服务器到数据库,再到web开发和移动设备)在业务流程中常使用的元素。数据中心和托管/存储服务提供商通常也在使用运行linux的设备。

e安全注:本文系e安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。

@e安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考。

上一篇:用户逃离供应商起诉 ofo跪着就能活下去?
下一篇:吉林农安棚改强拆乱象调查:“拆掉有证的,盖起没证的”
相关推荐
兰州七里河区人民法院公开宣判两起涉恶案件 17名被告人获刑
八婺红色故事丨金丁亥:战斗不息“老丁伯”
意大利橙子大战欢乐举行 100万个橙子当武器 清香小镇弥漫好几天
柬埔寨空军和海军你了解多少,没有战斗机却有两架巨无霸
许昆林:上海将以一流服务保障 精心办好第二届进博会
吉林农安棚改强拆乱象调查:“拆掉有证的,盖起没证的”
《使徒行者2》这一盘狼人杀才开局,猎人就死了一半,还怎么玩?
跨国公司领导人青岛峰会|波黑前总理兹拉特科•拉古姆季亚:跨国公司领导人青岛峰会将对世界产生积极影响
数据显示:“创业带动就业”发展态势良好
其实启辰D60是一辆,借着轩逸底盘招摇的廉价货
男子骑无证车被查后吓到抱树 竟是逃逸19年的杀人犯
阿兹特克战士的马夸威特刀,仅用石头和木棒制成竟能一刀砍掉马头
为什么生活中很多家长喜欢假装陪孩子玩,这样的爹妈真的太LOW
豌豆这样炒最好吃,只需多一步,颜色翠绿不变黄,好吃又好看
借记卡在美国被盗刷 持卡人起诉银行获全赔
甘肃交警发布元旦道路交通状况研判
信用卡逾期后该怎么去归还欠款呢?
入住新房气吐血!这9处万万不要花重金,谁装谁吃亏
理性看待“以房养老”推广难
一次可摧毁16辆主战坦克 中国最强无人机成功出口埃及