韩国遭遇大规模勒索病毒攻击

2017-06-27 353564人围观 ,发现 6 个不明物体 WEB安全资讯

韩国网络托管公司 Nayana 上周末遭遇大规模勒索病毒攻击,导致旗下 153 台 Linux 服务器与 3,400 个网站感染 Erebus 勒索软件 。亚信安全已经截获 Erebus 勒索软件,并将其命名为RANSOM_ELFEREBUS.A。事件发生后,网络托管公司Nayana在主页上传公告称,因服务器感染勒索病毒,为恢复数据、保护用户信息,Nayana被迫向黑客支付了第一笔赎金,以获取解密密钥。令人遗憾的是,目前为止,该公司并没有收到解密密钥。

1.jpg

“Nayana”公司发布的关于Erebus 勒索软件攻击事件通告

Erebus 勒索病毒发展史

  1. 2016年9月亚信安全首次发现Erebus勒索病毒 (亚信安全检测为RANSOM_EREBUS.A) ,该勒索病毒通过恶意广告传播,其会诱导用户访问Rig exploit kit 服务器,并下载勒索病毒。该勒索病毒加密423种文件类型, 使用 RSA-2048 加密算法对文件进行加密, 被加密的文件扩展名变为.ecrypt。该版本的Erebus勒索病毒使用韩国被入侵的网站作为其命令和控制(C&C)服务器。
  1. 2017年2月,Erebus勒索病毒变种出现(亚信安全检测为RANSOM_EREBUS.TOR),该勒索病毒使用一种绕过用户帐户控制 (UAC) 的技术来提升权限,不需要用户允许就可以运行勒索病毒。UAC是windows的一项功能,其可以帮助防止恶意软件和间谍软件在未经许可的情况下在计算机上进行安装或对计算机进行更改。Erebus勒索病毒威胁用户需要在96小时内交付赎金0.085 比特币(约216美元),否则就会删除受害者文件。此版本勒索病毒会删除被感染系统的卷影副本文件,以防止受害者恢复被加密的文件。

  2. 2017年6月发现的Erebus勒索病毒(RANSOM_ELFEREBUS.A)可以感染Linux服务器,亚信安全研究表明该版 本勒索病毒使用RSA算法和AES密钥进行加密,被感染的文件均使用唯一的AES密钥加密。为保证病毒长期潜伏在系统中,其添加了一个假的蓝牙服务,以确保即使在系统或服务器重新启动之后仍然执行勒索软件。另外,该病毒使用了UNIX的定时任务(cron),每小时检查勒索软件是否在运行。勒索赎金由最初的10比特币(24,689美元) 降至5比特币(12,344美元)。

2.jpg

Erebus加密勒索提示信息

RANSOM_ELFEREBUS.A勒索病毒技术分析:

建立CRON计划任务,每小时检测勒索病毒是否运行

/etc/cron.hourly/96anacron

添加了如下假的蓝牙服务,以确保即使在系统或服务器重新启动之后仍然执行勒索软件

  /etc/rc.d/init.d/bluetooth

  /etc/rc.d/rc2.d/S25bluetooth

  /etc/rc.d/rc3.d/S25bluetooth

  /etc/rc.d/rc4.d/S25bluetooth

  /etc/rc.d/rc5.d/S25bluetooth

收集系统中下列信息,并发送到远程服务器

编号    收集内容

1    Private Key

2    Public Key

3    Malware install path

4    Operating System

5    Operating System version and architecture

6    Timezone

7    Language

8    Network Adapter

9    IP Address

10    MAC Address

加密具有下列文件名的文件:

ibdata0    ibdata1    ibdata2    ibdata3

ibdata4    ibdata5    ibdata6    ibdata7

ibdata8    ibdata9    ib_logfile0    ib_logfile1

ib_logfile2    ib_logfile3    ib_logfile4    ib_logfile5

ib_logfile6    ib_logfile7    ib_logfile8    ib_logfile9

该勒索病毒加密443种文件类型,其中包括下列常用文件类型:

  Office文档(.pptx, .docx, .xlsx)

  数据库 (.sql,.mdb, .dbf, .odb)

  压缩文件 (.zip,.rar)

  电子邮件 (.eml,.msg)

  与网站相关的及开发项目文件(.html,.css, .php, .java)

  多媒体文件 (.avi,.mp4)

加密文件使用下面命名规则:

{随机文件名}.ecrypt

Erebus并不是第一个针对Linux系统以及服务器的勒索病毒。Linux.Encoder、EncryptorRaaS、 KillDisk、Rex、 Fairware,和 KimcilWare 都可以攻击linux系统。事实上,Linux勒索软件早在2014年就出现了, SAMSAM、Petya,和 Crysis是我们熟悉的勒索病毒家族。虽然Linux勒索病毒并不像Windows勒索病毒那样成熟,但它们仍然会给用户尤其是企业用户带来严重的负面影响, NAYANA就是典型的例子。随着Linux系统被广泛使用,越来越多的病毒会瞄向Linux系统,Linux系统安全问题不容忽视。

确保Linux服务器和系统安全防护建议

  1. 保持系统和服务器的更新,确保及时安装补丁程序。

  2. 避免或最小化添加第三方或未知的存储库和软件包,可以有效避免攻击者通过软件漏洞攻击服务器,通过删除或禁用服务器中不必要的组件或服务,可以进一步降低风险。

  3. 应用最低权限的原则,Linux的权限划分可以有效限制程序对系统进行修改,以及防止未经授权的使用。建议用户使用最低权限以确保系统安全。

  4. 主动监控和验证网络流量,部署入侵检测和防护系统以及防火墙有助于识别,过滤和阻止恶意软件相关流量。

  5. 备份文件,备份的最佳做法是采取3-2-1规则,即至少做三个副本,两种不同格式保存,将副本放在异地存储。

  6. 应用网络分段和数据分类

亚信安全防护措施:

亚信安全病毒码版本13.480.60(6月20日已经发布)可以检测该病毒,请用户及时升级病毒码版本。亚信安全服务器深度安全防护系统(DeepSecurity)DPI规则可以有效防护该病毒,规则如下:

1008457– Ransomware Erebus

亚信安全TDA规则可以有效检测该病毒,规则如下:

2434– EREBUS – Ransomware – HTTP (Request)

*本文作者:亚信安全,转载请注明FreeBuf.COM

相关推荐

这些评论亮了

  • However, the company later negotiated with the cyber criminals and agreed to pay 397.6 bitcoins (around $1.01 million) in three installments to get their files decrypted. The hosting company has already paid two installments at the time of writing and would pay the last installment of ransom after recovering data from two-third of its infected servers.
    作者你这是在误导我们英文不好的人吗?文件都拿到2/3了还说没有解密秘钥!
    )17( 亮了
发表评论

已有 6 条评论

取消
Loading...

特别推荐

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php