韩国病毒

韩国病毒
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
韩国遭遇大规模勒索病毒攻击亚信安全认证厂商2017-06-27共289902人围观，发现 6 个不明物体 WEB安全资讯
韩国网络托管公司 Nayana 上周末遭遇大规模勒索病毒攻击，导致旗下 153 台 Linux 服务器与 3,400 个网站感染 Erebus 勒索软件。亚信安全已经截获 Erebus 勒索软件，并将其命名为RANSOM_ELFEREBUS.A。事件发生后，网络托管公司Nayana在主页上传公告称，因服务器感染勒索病毒，为恢复数据、保护用户信息，Nayana被迫向黑客支付了第一笔赎金，以获取解密密钥。令人遗憾的是，目前为止，该公司并没有收到解密密钥。

1.jpg

“Nayana”公司发布的关于Erebus 勒索软件攻击事件通告
Erebus 勒索病毒发展史
2016年9月亚信安全首次发现Erebus勒索病毒 (亚信安全检测为RANSOM_EREBUS.A) ，该勒索病毒通过恶意广告传播，其会诱导用户访问Rig exploit kit 服务器，并下载勒索病毒。该勒索病毒加密423种文件类型，使用 RSA-2048 加密算法对文件进行加密, 被加密的文件扩展名变为.ecrypt。该版本的Erebus勒索病毒使用韩国被入侵的网站作为其命令和控制(C&C)服务器。
2017年2月，Erebus勒索病毒变种出现（亚信安全检测为RANSOM_EREBUS.TOR），该勒索病毒使用一种绕过用户帐户控制 (UAC) 的技术来提升权限，不需要用户允许就可以运行勒索病毒。UAC是windows的一项功能，其可以帮助防止恶意软件和间谍软件在未经许可的情况下在计算机上进行安装或对计算机进行更改。Erebus勒索病毒威胁用户需要在96小时内交付赎金0.085 比特币（约216美元），否则就会删除受害者文件。此版本勒索病毒会删除被感染系统的卷影副本文件，以防止受害者恢复被加密的文件。

2017年6月发现的Erebus勒索病毒（RANSOM_ELFEREBUS.A）可以感染Linux服务器，亚信安全研究表明该版本勒索病毒使用RSA算法和AES密钥进行加密，被感染的文件均使用唯一的AES密钥加密。为保证病毒长期潜伏在系统中，其添加了一个假的蓝牙服务，以确保即使在系统或服务器重新启动之后仍然执行勒索软件。另外，该病毒使用了UNIX的定时任务（cron），每小时检查勒索软件是否在运行。勒索赎金由最初的10比特币(24,689美元) 降至5比特币(12,344美元)。

2.jpg

Erebus加密勒索提示信息

RANSOM_ELFEREBUS.A勒索病毒技术分析：
建立CRON计划任务，每小时检测勒索病毒是否运行
/etc/cron.hourly/96anacron

添加了如下假的蓝牙服务，以确保即使在系统或服务器重新启动之后仍然执行勒索软件

/etc/rc.d/init.d/bluetooth

/etc/rc.d/rc2.d/S25bluetooth

/etc/rc.d/rc3.d/S25bluetooth

/etc/rc.d/rc4.d/S25bluetooth

/etc/rc.d/rc5.d/S25bluetooth
收集系统中下列信息，并发送到远程服务器

编号收集内容

1 Private Key

2 Public Key

3 Malware install path

4 Operating System

5 Operating System version and architecture

6 Timezone

7 Language

8 Network Adapter

9 IP Address

10 MAC Address
加密具有下列文件名的文件：

ibdata0 ibdata1 ibdata2 ibdata3

ibdata4 ibdata5 ibdata6 ibdata7

ibdata8 ibdata9 ib_logfile0 ib_logfile1

ib_logfile2 ib_logfile3 ib_logfile4 ib_logfile5

ib_logfile6 ib_logfile7 ib_logfile8 ib_logfile9
该勒索病毒加密443种文件类型，其中包括下列常用文件类型：

Office文档(.pptx, .docx, .xlsx)

数据库 (.sql,.mdb, .dbf, .odb)

压缩文件 (.zip,.rar)

电子邮件 (.eml,.msg)

与网站相关的及开发项目文件(.html,.css, .php, .java)

多媒体文件 (.avi,.mp4)
加密文件使用下面命名规则：

{随机文件名}.ecrypt

Erebus并不是第一个针对Linux系统以及服务器的勒索病毒。Linux.Encoder、EncryptorRaaS、 KillDisk、Rex、 Fairware,和 KimcilWare 都可以攻击linux系统。事实上，Linux勒索软件早在2014年就出现了， SAMSAM、Petya,和 Crysis是我们熟悉的勒索病毒家族。虽然Linux勒索病毒并不像Windows勒索病毒那样成熟，但它们仍然会给用户尤其是企业用户带来严重的负面影响， NAYANA就是典型的例子。随着Linux系统被广泛使用，越来越多的病毒会瞄向Linux系统，Linux系统安全问题不容忽视。

确保Linux服务器和系统安全防护建议
保持系统和服务器的更新，确保及时安装补丁程序。

避免或最小化添加第三方或未知的存储库和软件包，可以有效避免攻击者通过软件漏洞攻击服务器，通过删除或禁用服务器中不必要的组件或服务，可以进一步降低风险。

应用最低权限的原则，Linux的权限划分可以有效限制程序对系统进行修改，以及防止未经授权的使用。建议用户使用最低权限以确保系统安全。

主动监控和验证网络流量，部署入侵检测和防护系统以及防火墙有助于识别，过滤和阻止恶意软件相关流量。

备份文件，备份的最佳做法是采取3-2-1规则，即至少做三个副本，两种不同格式保存，将副本放在异地存储。

应用网络分段和数据分类

亚信安全防护措施：
亚信安全病毒码版本13.480.60（6月20日已经发布）可以检测该病毒，请用户及时升级病毒码版本。亚信安全服务器深度安全防护系统（DeepSecurity）DPI规则可以有效防护该病毒，规则如下：

1008457– Ransomware Erebus
亚信安全TDA规则可以有效检测该病毒，规则如下：

2434– EREBUS – Ransomware – HTTP (Request)
*本文作者：亚信安全，转载请注明FreeBuf.COM

亚信安全
亚信安全
10 篇文章
等级： 4级
||
上一篇：Google和必应都无法替代的10大深网搜索引擎下一篇：网络安全新前沿：一张图看80家采用人工智能来做安全的公司
这些评论亮了

langyajiekou (6级)回复
However, the company later negotiated with the cyber criminals and agreed to pay 397.6 bitcoins (around $1.01 million) in three installments to get their files decrypted. The hosting company has already paid two installments at the time of writing and would pay the last installment of ransom after recovering data from two-third of its infected servers.
作者你这是在误导我们英文不好的人吗？文件都拿到2/3了还说没有解密秘钥！
)17(亮了
发表评论已有 6 条评论

luxiong730 (1级) 2017-06-27回复 1楼
没有收到解密密钥，这不符合行业规则啦。

亮了(5)

VV 2017-06-27回复
@ luxiong730 没有职业操守！

亮了(2)

黑客小平哥 2017-06-27回复 2楼
不给秘钥，以后人家还怎么相信，还怎么赚钱

亮了(3)

langyajiekou (6级) 2017-06-27回复 3楼
However, the company later negotiated with the cyber criminals and agreed to pay 397.6 bitcoins (around $1.01 million) in three installments to get their files decrypted. The hosting company has already paid two installments at the time of writing and would pay the last installment of ransom after recovering data from two-third of its infected servers.

作者你这是在误导我们英文不好的人吗？文件都拿到2/3了还说没有解密秘钥！

亮了(17)

jin16879 (3级) 2017-06-27回复 4楼
这广告就666了，全篇都是公司名称。

亮了(3)

亚信安全认证厂商(4级) 亚信安全官方账号 2017-06-27回复 5楼
@ langyajiekou 您好，感谢您关注，这篇文章写的比较早，当时了解到支付第一笔赎金后确实没有收到解密密钥。后续没有对该事件跟进，很抱歉给大家造成了误解。

亮了(3)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
亚信安全
亚信安全认证厂商

亚信安全官方账号

10
文章数
2
评论数
最近文章
海莲花APT组织使用最新MacOS后门程序发动攻击
2018.04.28

尼日利亚黑客发起的BEC攻击
2018.02.01

思路分享 | 无弹窗APT渗透实验
2017.09.08

浏览更多
相关阅读
【BlackHat 2017】勒索软件未来的终极克星？研究人员发明ShieldFS文件系统面对勒索软件，FBI也认怂了勒索软件Chimera背后藏着什么秘密？BUF 早餐铺 | Android API breaking漏洞曝光；手机过热可能是遭到恶意挖矿软件攻击；飞利浦发布报告称其设备存在9个安全漏洞韩国遭遇大规模勒索病毒攻击
特别推荐

关注我们分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

文章评论