韓國網絡托管公司Nayana于6月10日遭遇勒索軟件攻擊，153臺Linux服務器淪陷，該公司同意支付價值100萬美元（約合683萬人民幣）的比特幣。

這起勒索攻擊導致Nayana托管的3400多個公司網站被加密。Nayana 公司6月12日最初發布公告稱，攻擊者要索要550比特幣（超過160萬 美元）解密被感染的文件。此后，雙方經過協調，攻擊者將勒索金降低到397.6比特幣（約100萬美元）。

Nayana公司宣布將分三期支付贖金，攻擊者根據支付的贖金相應解密受影響的服務器。目前，Nayana公司已完成前兩期支付，目前正在恢復前兩批服務器。

Trend Micro揭露，這起攻擊中使用的勒索軟件為“Erebus”。Erebus勒索軟件顯然要比上個月臭名昭著的WannaCry更有收獲，其僅憑攻擊一家公司就讓其金銀滿缽，相比之下盡管WannaCry聲勢浩大，廣撒網，其肆虐幾天收獲不過幾十個比特幣，真所謂沒有比較就沒有傷害。

Erebus勒索軟件于2016年9月初次被發現，今年二月再現江湖，具備Windows User Account Control（Windows用戶賬戶控制）繞過功能。下圖為Trend Micro目前為止公開的有關Linux版Erebus的技術細節。

圖：Erebus發布多語言版本的勒索信（此圖為英文版）

圖：攻擊者演示如何解密加密文件的視頻截圖

Trend Micro指出，顯然有人將Erebus移植到Linux，并用來瞄準易受攻擊的服務器。Nayana網站在Linux內核2.6.24.2上運行，編譯時間要追溯到2008年，因此極易遭受大量漏洞利用，為攻擊者提供服務器的Root訪問權限，例如“臟牛”（Dirty Cow，CVE-2016-5195）漏洞。

研究人員表示，Nayana公司網站還使用2006年發布的Apache 1.3.36和PHP 5.1.4，其中包含已知漏洞。攻擊者很有可能利用易受攻擊的Linux安裝作為入侵Nayana系統的切入點。Nayana 使用的Apache 1.3.36作為匿名用戶（uid=99）運行，也許這起攻擊中已利用了本地漏洞。

圖：提交到VirusTotal的Linux版Erebus

Erebus的主要攻擊對象似乎為韓國，但是，VirusTotal顯示，有些Erebu樣本來自烏克蘭和羅馬利亞。Trend Micro認為，可能還有其它研究人員發現了這款惡意軟件。

一些勒索軟件家族慣于在加密算法層中打亂文件，例如UIWIX、Cerber的后幾個版本以及DMA Locker，而Erebus將這種做法升級。Erebus加密的每個文件將具有以下格式：

Erebus使用的加密方法復雜，使得在不借助RSA密鑰的情況下難以解密。這款惡意軟件使用RSA算法加密AES密鑰，并使用唯一的AES密鑰加密每個被感染的文件。

Trend Micro解釋稱，攻擊者首先通過500kB塊（帶有隨機生成密鑰）中的RC4加密打亂文件，之后通過存儲在文件中的AES加密算法對RC4密鑰進行編碼。之后，AES密鑰再次通過存儲在該文件中的RSA-2048算法加密。

雖然每個加密文件都具有RC4和AES密鑰，但RSA-2048公共密鑰時共享的。這些RSA-2048密鑰在本地生成，但私鑰卻通過AES加密和另一個隨機生成的密鑰加密。Trend Micro的分析表明，如果不獲取RSA密鑰，根本不可能完成解密。

研究人員表示，這款惡意軟件針對Office文檔、數據庫、存檔文件和多媒體文件，能加密433個文件類型。然而，這款惡意軟件專門加密Web服務器以及其中包含的數據。

Erebus針對433個文件類型包括：

Office文檔（.pptx, .docx, .xlsx）

數據庫（.sql、.mdb、 .dbf、.odb）

存檔文件（.zip、.rar）

電郵文件（.eml、.msg）

與網站相關的文件和開發人員項目文件（.html、 .css、 .php、 .java）

多媒體文件（.avi、 .mp4）

圖：Erebus搜索的系統表空間

Trend Micro總結稱，以Nayana為例，Linux是一個越來越受歡迎的操作系統，也是各個行業的組織機構（從服務器到數據庫，再到Web開發和移動設備）在業務流程中常使用的元素。數據中心和托管/存儲服務提供商通常也在使用運行Linux的設備。