據外媒6月12日報道，韓國網絡托管公司 Nayana 上周末（6月10日）遭受網絡攻擊，導致旗下153臺Linux 服務器與3,400個網站感染Erebus勒索軟件。近日，該公司在努力無果的情況下，向勒索黑客支付價值100萬美元的比特幣，來解密鎖定的文件。

在此次勒索事件中，勒索軟件Erebus濫用了Event Viewer提權，允許實現用戶賬戶控制（UAC）繞過，即用戶不會收到允許以較高權限運行程序的提示。此外，勒索軟件Erebus還可將自身復制到任意一個隨機命名的文件中修改Window注冊表，以劫持與.msc文件擴展名相關內容。

一旦60種目標文件擴展名遭Erebus加密，桌面就會出現一張贖金交納通知，要求受害者支付550比特幣（超過160萬美元）的贖金來解鎖加密文件。受害者在點擊“恢復文件”后頁面將跳轉至Erebus Tor支付網站。

事件發生后，韓國互聯網安全局、國家安全機構已與警方展開聯合調查，Nayana公司也表示，他們會積極配合，盡快重新獲取服務器控制權限。可想而知，在努力無果后，Nayana公司最終還是選擇以支付贖金的方式換取其服務器的控制權限。

據悉，該公司后來與網絡犯罪分子進行談判，最終同意分3期支付397.6比特幣（約合101萬美元），以解密其鎖定文件。在撰寫本文時，該網絡托管公司已經支付了2期的贖金，在2/3受感染設備中的數據恢復后，該公司將支付最后一期的贖金。

根據網絡安全公司趨勢科技所言，此次攻擊使用的Erebus勒索軟件首次發現于2016年9月份。由于Nayana的主機服務器在Linux內核2.6.24.2上運行，所以研究人員認為，Erebus Linux勒索軟件可能已經使用了一些已知的漏洞，如DIRTY COW（臟牛）；或是利用本地Linux漏洞來接管系統的root訪問權限。

【贖金支付通知】

研究人員指出，

NAYANA使用的Apache版本是以nobody（uid = 99）的用戶身份運行的，這表明攻擊中也使用了本地Linux漏洞。此外，NAYANA的網站使用的主要是Apache版本1.3.36和PHP版本5.1.4，兩者均是2006年發布的。

Erebus是一款主要針對韓國用戶的勒索軟件，使用RSA-2048算法對辦公文件、數據庫、文檔以及多媒體文件進行加密，然后在顯示贖金通知之前附加一個.ecrypt擴展名。

研究人員稱，該文件首先用具有隨機生成鍵的500k Bblocks中的RC4加密進行加擾，然后使用AES加密算法（該加密算法存儲在文件中）對RC4密鑰進行編碼，最后AES密鑰再次使用RSA-2018算法（也存儲在文件中）進行加密。

本地生成的公共密鑰是共享的，而私鑰是使用AES加密和另外一種隨機生成的密鑰加密而成的。根據趨勢科技研究人員進行的分析發現，在沒有拿到RSA密鑰的情況下對感染文件進行解密是無法實現的。這也正是NAYANA最終選擇支付贖金的原因所在。

所以，可以說，處理勒索軟件攻擊唯一安全的方法就是預防。而對勒索軟件最好的預防方式就是提高組織內部人員的安全意識，并保持定期備份。

大多數的病毒都是通過打開受感染的附件或點擊垃圾郵件中的惡意軟件鏈接造成的。所以，請謹記，不要點擊任何來自未知來源的電子郵件和附件中提供的鏈接。此外，還要始終確保你的系統運行的是最新版本的應用程序。