Erebus以Linux勒索软件的方式重出江湖，勒索韩国公司100万美元

6月10日，韩国网络托管公司NAYANA被Erebus 勒索软件（由趋势科技公司检测为RANSOM_ELFEREBUS.A）攻击，导致旗下 153 台 Linux 服务器与 3400 个商业网站感染 Erebus 勒索软件。

安全专家表示，勒索软件 Erebus 滥用 Event Viewer 提权，允许实现用户账户控制（ UAC ）绕过，即用户不会收到以较高权限运行程序运行的通知。此外， Erebus 还可将自身复制到任意一个随机命名的文件中修改 Window 注册表，以劫持与 .msc 文件扩展名相关内容。

去年6月12日在NAYANA网站发布的通知中，该公司就表示，攻击者就要求过550比特币的空前赎金，即162万美元，以解密其所有服务器的受影响的文件。在6月14日的网站更新中，我们看到NAYANA协商支付了总共397.6 比特币（根据2017年6月19日的汇率，约101万美元），分期付款。在6月17日的NAYANA网站发布的声明中，三批付款中的第二笔给攻击者汇出。 6月18日，NAYANA开始批量恢复受损服务器的运行。

虽然在赎金数额方面令人震惊，不过专家们的质疑确实，第三批勒索赎金交齐了后，是否能恢复全部的文件。这让人想起堪萨斯医院发生过的事情，，堪萨斯心脏医院（Kansas Heart Hospital）就是为此付出了沉重的代价。他们按要求支付了赎金，换来的却是部分的恢复文件，网络犯罪分子竟要求更多赎金，才能恢复全部文件。。

Erebus于2016年9月首次发布，并于2017年2月重新出现，并采用了绕过UAC的方法。以下是趋势科技研究人员迄今为止发现的关于Erebus Linux版本的一些显着的技术细节：

上图是Erebus的多种语言的赎金单。

上图是攻击者演示视频的屏幕截图，显示了如何解密加密文件。

攻击过程还原

至于Erebus是如何进行攻击的，研究人员只能推断Erebus可能会利用漏洞或本地的Linux漏洞。例如，基于开源智能，NAYANA的网站运行在Linux内核2.6.24.2之上，该版本于2008年被编译。安全漏洞，如DIRTY COW可以为攻击者提供root以访问易受攻击的Linux系统，这只是对一些已经暴露了的威胁的分析。

此外，NAYANA的网站使用Apache版本1.3.36和PHP版本5.1.4，两者都是在2006年发布。Apache漏洞和PHP漏洞是众所周知的，事实上，在中国的网络黑市甚至还有一种工具，用于开发Apache Struts。 Apache NAYANA使用的版本是以nobody（uid = 99）的用户身份运行的，这表示本地攻击也可能在攻击中被使用。

上图就是在VirusTotal上扫描的Erebus

值得注意的是，Erebus在攻击范围方面是有限的，事实上，它们主要集中在韩国。虽然这可能表明这种Erebus攻击是专门针对韩国的，但VirusTotal还显示了另外的攻击分析，从乌克兰和罗马尼亚也发现了Erebus的攻击样本。

加密程序

已知的某些勒索软件家族可以加密算法，如UIWIX，更高版本的Cerber和DMA Locker等等。Erebus也实现了这一点，它加密的每个文件都具有以下格式：

该文件首先用具有随机生成密钥的500kB block中的RC4加密进行加扰，然后使用AES加密算法对RC4密钥进行编码，该加密算法存储在文件中。 AES密钥再次使用存储在文件中的RSA-2048算法进行加密。

虽然每个加密文件都有其RC4和AES密钥，但RSA-2048公钥是共享的。这些RSA-2048密钥是本地生成的，但私钥是使用AES加密和另一个随机生成的密钥加密的。正在进行的分析表明，在没有生产RSA密钥的情况下，解密是不可能的。

目标文件类型

Office文档、数据库、存档和多媒体文件是勒索软件通常针对的文件类型， Erebus也不例外，它加密了433种文件类型。但是，Erebus似乎主要用于定位和加密Web服务器以及存储在其中的数据。

以下这个表显示了Erebus搜索的目录和系统表空间。请注意，var / www /是存储网站的文件或数据的位置，而在MySQL中使用ibdata文件：

随着Unix和类Unix的操作系统（如Linux）的市场份额不断扩大，针对该系统的勒索软件攻击也会越来越多。况且它们还是专门用于工作站和服务器，网络和应用程序开发框架，数据库和移动设备。

正如我们之前对WannaCry，SAMSAM，Petya或HDDCryptor的分析，服务器和网络共享的能力让恶意软件的传播相当迅速。

所以对于企业来说，要牢记：

1.备份关键文件

2.禁用或最小化第三方或未验证的存储库

3.应用最小特权

4.确保更新服务器和端点

5.定期监控网络

6.检查事件日志以检查入侵或感染的迹象

可以考虑的一些安全机制是：

1.IP过滤以及入侵防御和检测系统

2.Linux中的安全扩展，用于管理和限制对文件或系统等网络资源的访问

3.网络分割和数据分类，以减少和减轻感染所造成的损害

4.在Linux中启用特权分离