Compania Sud Coreană Nayana, ce se ocupă cu web hosting a plătit o sumă record pentru răscumpărarea fișierelor infectate cu malware-ul Erebus. În urma atacului de pe 10 Iunie, 153 de servere Linux au fost infectate și peste 3400 de website-uri business ținute de Nayana au fost criptate.
În urma anunțului inițial al companiei în cauză, atacatorul a cerut 550 Bitcoinsi (1,62 milioane de dolari). Mi s-a părut amuzant felul în care a calculat atacatorul suma răscumpărării. Acesta a menționat faptul că firma ar avea 40 de angajați al cărui salariu anual este de $30 000 (1,2 milioane de dolari), iar răscumpărarea ar trebui să fie de 550 Bitcoinsi. Compania nu s-a lăsat însă mai prejos și a negociat cu atacatorul, ajungându-se astfel la o răscumpărare de 397,6 Bitcoinsi (puțin peste 1 milion de dolari).
După cum au spus cei de la Trend Micro, ransomware-ul folosit în acest atac este Erebus. Malware-ul Erebus a apărut pentru prima oară în Septembrie 2016 pe sistemele de operare Windows. Se pare că cineva și-a făcut timp și a portat ransomware-ul pe Linux. Acesta este folosit pentru a găsi drept țintă servere vulnerabile.
Cum s-a putut realiza infecția cu malware-ul Erebus?
Website-ul Nayana rula pe Linux kernel 2.6.24.2, un kernel compilat în 2008. Adițional, website-ul Nayana folosea Apache versiunea 1.3.36 și PHP versiunea 5.1.4, ambele lansate în 2006. Ransomware-ul pare a avea drept țintă website-uri sau calculatoare din Coreea, dar mostre ale virusului au fost adăugate pe VirusTotal și din țări precum Ucraina sau România.
Detalii despre malware-ul Erebus
Malware-ul folosește algoritmul RSA pentru criptare. Fiecare fișier este criptat cu o cheie unică AES. Dar cheia publică RSA-2048 este devăluită. Ransomware-ul are drept țintă fișiere Office, baze de date, arhive și fișiere multimedia. Este capabil totuși să cripteze un total de 433 tipuri de fișiere. Malware-ul Erebus pare totuși a fi fost conceput pentru a avea drept țintă serverele web și datele stocate pe ele. Aceasta nu este prima oară când sistemele Linux sunt vizate de malware, amintind aici și de Dirty Cow.
Singura modalitate de prevenire a infectării cu ransomware rămâne prevenția. După cum v-am mai recomandat, ideal este să aveți un backup al datelor. O soluție bună de backup ar fi Eassos System Restore. Marea majoritate a virușilor se răspândesc prin deschiderea unui / unor atașamente infectate. Sau prin deschiderea unor link-uri către malware, de obicei de prin e-mail-urile de tip spam. Nu dați click deci pe link-uri sau nu deschideți atașamente ce provin din surse necunoscute.