INFORMACION SOBRE EL RANSOMWARE EREBUS CUYO RESCATE HA COSTADO 1 MILLON DE DOLARES A NAYANA

---

Recientemente la empresa NAYANA, con sede en Corea del Sur, ha compartido información de que han sido extorsionados por la cantidad insana de 550 BTC (Bitcoin). Esta suma equivalía a alrededor $1.6 millones de dólares en el momento del ataque. Afortunadamente, el rescate estaba a la negociación y como el tiempo estaba presionando nayana, lograron negociar el precio del rescate y pagado un total de dos pagos que equivale a $1.01 Millón de dólares. Después de que el pago ha realizado una, la compañía fue enviado el llamado “Erebus Decryptor” que les permitió comenzar a restaurar sus archivos. A pesar de pagar el rescate, la compañía todavía está experimentando problemas con algunos de los archivos cifrados de los que son propensos a hacer un tercer pago en el futuro.



El ransomware Erebus fue inicialmente detectado al final del año 2016 y se informó de infectar ordenadores a través de la RIG Exploit Kit para Windows. También utiliza un tipo de derivación de ataque UAC y se utiliza para exigir la suma de alrededor 0.85 BitCoin. En comparación con esto, la nueva versión del virus ha sido modificada para que funcione en Linux. Se sigue utilizando un archivo .txt para notificar a las víctimas. El archivo se denomina _DECRYPT_FILE.txt y tiene el siguiente mensaje:



Advertencia!!

Sus documentos, fotos, bases de datos, archivos importantes han sido cifrados!

Si modifica cualquier archivo, puede provocar que no se puede descifrar!!!!

Para descifrar los archivos, visite el siguiente sitio web:

{enlaces web TOR}

Si la dirección antes mencionada no será capaz de abrir o muy lento, sigue estos pasos:



1. Descargar e instalar el navegador Tor:

{descarga URL}

2.Después de la instalación exitosa, ejecutar el navegador, esperando para inicializar.

3.En la barra de direcciones escriba:

{url TOR}

Identificador de máquina:

{Identificación única}



Cuando la página web en sí es visitada, que tiene una nota de rescate, además, que tiene una clave pública única, que es para ser utilizado con el descifrador para restaurar los archivos después de un pago se ha hecho. El descifrador descifrador es nombrado Erebus y el software puede ser descargado solamente después de que la víctima ha pagado como TrendLabs informe:







¿Cómo se produjo el ataque?

Según los expertos(http://blog.trendmicro.com/trendlabs-security-intelligence/erebus-resurfaces-as-linux-ransomware/), el vector de ataque utilizado algunos exploits Linux especialmente diseñados. Desde el sitio de nayana es el núcleo de Linux basada en, los atacantes pueden haber hecho los deberes. Esto significa que puede haber descubierto un fallo de seguridad que les otorga el acceso administrativo que puede a su vez de que les dará la posibilidad de instalar el ransomware Erebus recodificada en los servidores. Otra de las vulnerabilidades de los cuales los atacantes pueden haber tomado ventaja de las vulnerabilidades son Apache. Los servidores de nayana eran 1.3 versión de Apache, que es del año 2006. Y PHP explota, así como errores de Apache son nada nuevo y desconocido en la red de metro.



¿Qué pasó cuando el ransomware Erebus atacó?

Después de que el virus ha infectado Erebus los servidores, utiliza sistemas de cifrado similares a los utilizados por:



ransomware Cerber.

UIWIX virus de ransomware.

infección DMA Locker.



Los algoritmos utilizados por Erebus para hacer que los archivos corruptos:



AES para cifrar los archivos y generar una clave de descifrado única.

bits RSA-2048 para cifrar la clave AES.

RC4 para cifrar los datos de los archivos en bloques de 500k, la generación de clave aleatoria.



La línea de fondo para este cifrado es que es posiblemente el más fuerte conocido combinación estable en el público hasta ahora, si codificada sin defectos. El virus también se configura para cifrar los tipos de archivo específicos, Ser específico - 433 diferentes tipos. La versión que atacó el proveedor de alojamiento de Corea del Sur, sin embargo, fue configurado para cifrar los servidores web y los datos que se guardan en ellas. Por esta razón, dirigido principalmente al var / www / directorio, archivos y otros datos de registro.



Los expertos advierten de más ataques para el próximo verano de 2017 y sugieren que se tomen las medidas apropiadas para garantizar que los servidores web y para su seguimiento y llevar a cabo inspecciones a menudo.





Ver información original al respecto en Fuente:

https://www.sensorstechforum.com/es/south-korea-company-pays-1-million-erebus-ransomware-wannacry/