韩国网络托管公司Nayana向勒索软件黑客支付100万美元

据外媒6月12日报道，韩国网络托管公司 Nayana 上周末（6月10日）遭受网络攻击，导致旗下153台Linux 服务器与3,400个网站感染Erebus勒索软件。近日，该公司在努力无果的情况下，向勒索黑客支付价值100万美元的比特币，来解密锁定的文件。

在此次勒索事件中，勒索软件Erebus滥用了Event Viewer提权，允许实现用户账户控制（UAC）绕过，即用户不会收到允许以较高权限运行程序的提示。此外，勒索软件Erebus还可将自身复制到任意一个随机命名的文件中修改Window注册表，以劫持与.msc文件扩展名相关内容。

一旦60种目标文件扩展名遭Erebus加密，桌面就会出现一张赎金交纳通知，要求受害者支付550比特币（超过160万美元）的赎金来解锁加密文件。受害者在点击“恢复文件”后页面将跳转至Erebus Tor支付网站。

事件发生后，韩国互联网安全局、国家安全机构已与警方展开联合调查，Nayana公司也表示，他们会积极配合，尽快重新获取服务器控制权限。可想而知，在努力无果后，Nayana公司最终还是选择以支付赎金的方式换取其服务器的控制权限。

据悉，该公司后来与网络犯罪分子进行谈判，最终同意分3期支付397.6比特币（约合101万美元），以解密其锁定文件。在撰写本文时，该网络托管公司已经支付了2期的赎金，在2/3受感染设备中的数据恢复后，该公司将支付最后一期的赎金。

根据网络安全公司趋势科技所言，此次攻击使用的Erebus勒索软件首次发现于2016年9月份。由于Nayana的主机服务器在Linux内核2.6.24.2上运行，所以研究人员认为，Erebus Linux勒索软件可能已经使用了一些已知的漏洞，如DIRTY COW（脏牛）；或是利用本地Linux漏洞来接管系统的root访问权限。

【赎金支付通知】

研究人员指出，

NAYANA使用的Apache版本是以nobody（uid = 99）的用户身份运行的，这表明攻击中也使用了本地Linux漏洞。此外，NAYANA的网站使用的主要是Apache版本1.3.36和PHP版本5.1.4，两者均是2006年发布的。

Erebus是一款主要针对韩国用户的勒索软件，使用RSA-2048算法对办公文件、数据库、文档以及多媒体文件进行加密，然后在显示赎金通知之前附加一个.ecrypt扩展名。

研究人员称，该文件首先用具有随机生成键的500k Bblocks中的RC4加密进行加扰，然后使用AES加密算法（该加密算法存储在文件中）对RC4密钥进行编码，最后AES密钥再次使用RSA-2018算法（也存储在文件中）进行加密。

本地生成的公共密钥是共享的，而私钥是使用AES加密和另外一种随机生成的密钥加密而成的。根据趋势科技研究人员进行的分析发现，在没有拿到RSA密钥的情况下对感染文件进行解密是无法实现的。这也正是NAYANA最终选择支付赎金的原因所在。

所以，可以说，处理勒索软件攻击唯一安全的方法就是预防。而对勒索软件最好的预防方式就是提高组织内部人员的安全意识，并保持定期备份。

大多数的病毒都是通过打开受感染的附件或点击垃圾邮件中的恶意软件链接造成的。所以，请谨记，不要点击任何来自未知来源的电子邮件和附件中提供的链接。此外，还要始终确保你的系统运行的是最新版本的应用程序。