主机托管服务商受到Linux勒索软件攻击后，乖乖支付100万赎金！

云头条 · 公众号 · 科技媒体 · 2017-06-20 19:18

正文

这家安全措施差强人意的主机托管服务商支付了这么大一笔金额，可能诱发新的勒索软件攻击。

一家主机托管服务商近日表示，它最近同意向一个勒索软件攻击团伙支付100万美元赎金，这个团伙加密了存储在153台Linux服务器和3400个客户网站上的数据。

这家名为Nayana的韩国主机托管服务商在上周发表的一篇博文中表示，最初对方要求的赎金是用比特币支付的50亿韩圆，约合440万美元。公司派出了谈判专家，后来设法将赎金降低至18亿韩圆，最终进一步降低至12亿韩圆，相当于100万美元。周六发布的一则最新消息称，Nayana的工程师在全力恢复数据。该消息提醒，恢复难度大，需要一番时间。

公司代表写道（经谷歌翻译后）：“这件事非常沮丧、非常棘手，但我确实在尽我所能，我会竭力确保所有的服务器都恢复正常。”

赎金方面创下记录的这个勒索软件名为Erebus。Erebu

s以前只针对运行微软Windows操作系统的计算机下手，最近经过了一番改动，那样变种就可以对Linux系统发动攻击。至于Erebus如何设法安装到Nayana的服务器上目前不清楚，不过考虑到这家主机托管服务商运行的软件似乎没有打上补丁，攻击者有可能钻了一个已知安全漏洞的空子。在周一发表的一篇博文（http://blog.trendmicro.com/trendlabs-security-intelligence/erebus-resurfaces-as-linux-ransomware/）中，安全公司趋势科技的研究人员这样写道：

至于这个Linux勒索软件是如何潜入的，我们只能推断得知：Erebus可能钻了安全漏洞或某个本地Linux漏洞的空子。比如说，从开源情报来看，Nayana的网站在Linux内核2.6.24.2上运行，这个内核版本是早在2008年编译的。它可能面临众多威胁，像DIRTY COW这样的安全漏洞只是其中一个，这些安全漏洞让攻击者可以获得易受攻击的Linux系统的root访问权。

此外，Nayana的网站使用Apache版本1.3.36和PHP版本5.1.4，两者都是早在2006年发布的。Apache安全漏洞和PHP漏洞广为人知；实际上，暗网上甚至在卖一款工具，明确用来钻Apache Struts的空子。Nayana所使用的Apache版本是作为nobody(uid=99)的用户来运行的，这表明本地漏洞在攻击中也有可能被利用了。

攻击Nayana的Erebus变种似乎旨在针对Web服务器下手。