Компания Trend Micro предупредила пользователей о появлении варианта вредоносного шифровальщика Erebus для платформы Linux.
Жертвой Erebus уже стал южнокорейский хостинг-оператор Nayana, содержимое 153 серверов которого, на которых размещались данные 3400 клиентов, оказались зашифрованы. Nayana выразил готовность выплатить вымогателям миллион долларов, что является одной из самых крупных выплат в результате применения вредоносных шифровальщиков. Два из трёх платежей уже переведены и часть данных расшифрована.
Утверждается, что на серверах Nayana использовалось устаревшее ПО, не обновляемое уже около 10 лет. Метод проникновения остаётся не ясен, Trend Micro намекает на атаку через PHP 5.1.4 и Apache httpd 1.3.36, но при этом ссылается на уязвимости в совершенно других продуктах — web-панели Plesk и Apache Struts, путая http-сервер Apache и web-фреймворк Apache Struts. При этом на хостинг-системах более вероятным является проведение атаки на уязвимые типовые web-приложения с дальнейшей эксплуатацией локальных уязвимостей для повышения привилегий, таких как уязвимость Dirty COW (на хостинге использовалось ядро Linux 2.6.24.2 (Debian Etch?), собранное в 2008 году).
В Erebus шифрование выполняется на уровне отдельных файлов, которые разбиваются на 500 Кб блоки и шифруются при помощи RC4 со случайно сгенерированным ключём. Созданные RC4-ключи затем кодируется при помощи AES, а применяемая для кодирования AES скрытая фраза шифруется с использованием открытого ключа RSA-2048 и сохраняются в файле.
Таким образом, каждый фал имеет свой набор RC4/AES-ключей и один общий для всех открытый ключ RSA-2048. Ключи RSA-2048 формируются локально, при этом необходимый для расшифровки закрытый ключ сохранён в виде, зашифрованном при помощи дополнительного ключа AES, сформированного на основе известной только злоумышленникам последовательности и идентификатора текущей системы. Шифрование выполняется для 433 типов файлов и каталогов, включая содержимое /var/www и файлов баз данных MySQL.
