Более 150 Linux-cерверов хостинг-оператора Nayana оказались поражены вредоносным шифровальщиком

Компания Trend Micro предупредила пользователей о появлении варианта вредоносного шифровальщика Erebus для платформы Linux. Жертвой Erebus уже стал южнокорейский хостинг-оператор Nayana, содержимое 153 серверов которого, на которых размещались данные 3400 клиентов, оказались зашифрованы. Nayana выразил готовность выплатить вымогателям миллион долларов, что является одной из самых крупных выплат в результате применения вредоносных шифровальщиков. Два из трёх платежей уже переведены и часть данных расшифрована.

В Erebus шифрование выполняется на уровне отдельных файлов, которые разбиваются на 500 Кб блоки и шифруются при помощи RC4 со случайно сгенерированным ключом. Созданные RC4-ключи затем кодируется при помощи AES, а применяемая для кодирования AES скрытая фраза шифруется с использованием открытого ключа RSA-2048 и сохраняются в файле. Таким образом, каждый файл имеет свой набор RC4/AES-ключей и один общий для всех открытый ключ RSA-2048. Ключи RSA-2048 формируются локально, при этом необходимый для расшифровки закрытый ключ сохранён в виде, зашифрованном при помощи дополнительного ключа AES, сформированного на основе известной только злоумышленникам последовательности и идентификатора текущей системы. Шифрование выполняется для 433 типов файлов и каталогов, включая содержимое /var/www и файлов баз данных MySQL.
http://www.opennet.ru/opennews/art.shtml?num=46726