网络托管公司向勒索软件黑客支付100万美元以取回文件

根据网络托管公司NAYANA发布的一篇博文，这一不幸事件发生在6月10日，勒索软件恶意软件攻击其托管服务器，攻击者要求550比特币（超过160万美元）解锁加密文件。

然而，该公司后来与网络犯罪分子谈判，同意分三次支付397.6比特币（约合101万美元）以解密他们的文件。

在撰写本文时，托管公司已经支付了两次分期付款，并将在从三分之二受感染的服务器恢复数据后支付最后一次分期付款的赎金。

据安全公司Trend Micro称，袭击中使用的勒索软件是埃雷布斯这在去年9月首次被发现，并在今年2月通过Windows的用户帐户控制绕过功能被发现。

由于托管服务器运行在Linux内核2.6.24.2上，研究人员认为Erebus Linux勒索软件可能使用了已知的漏洞，比如DIRTY COW；或者本地Linux利用此漏洞接管系统的根访问权限。

研究人员指出：“使用的Apache NAYANA版本是以nobody用户（uid=99）的身份运行的，这表明攻击中可能也使用了本地漏洞。”。

“此外，NAYANA的网站使用Apache 1.3.36版和PHP 5.1.4版，这两个版本都是在2006年发布的。”

Erebus是一款主要针对韩国用户的勒索软件，它使用RSA-2048算法对办公室文档、数据库、档案和多媒体文件进行加密，然后在其上附加一个密码。在显示赎金通知之前，请先使用电子加密分机。
研究人员说：“该文件首先使用随机生成的密钥，在500kB的数据块中使用RC4加密进行加密。”然后用AES加密算法对RC4密钥进行编码，该算法存储在文件中。AES密钥再次使用同样存储在文件中的RSA-2048算法进行加密

本地生成的公钥是共享的，而私钥使用AES加密和另一个随机生成的密钥进行加密。

根据趋势科技研究人员进行的分析，如果不掌握RSA密钥，就不可能解密受感染的文件。

因此，处理勒索软件攻击的唯一安全方法是预防。正如我们之前所建议的，针对勒索软件的最佳防御措施是在组织内部建立意识，并定期维护备份。

大多数病毒都是通过打开受感染的附件或点击垃圾邮件中恶意软件的链接引入的。因此，不要点击来自未知来源的电子邮件和附件中提供的链接。

此外，请确保您的系统正在运行最新版本的已安装应用程序。