Erebusの感染について　TrendMicroが公表

韓国企業NAYANAで発生した「Erebus」被害より、TrendMicro社は現在確認されているErebusの感染経路や感染対象について、Webサイト上で公表しています。

引用元:http://blog.trendmicro.co.jp/archives/15273

侵入経路

TrendMicro社はErebusの侵入経路としては、Linux OSに存在する何らかの脆弱性を悪用したものであり、実際に、被害を受けたNAYANAのWebサイトでは、平成23年に更新が終了した「Linux OS バージョン2.64.24.2 」や、平成18年にリリースされた「Apacheバージョン1.3.36」、「PHPバージョン5.1.4」が使用されていたとのことです。

暗号化機能

Erebusは5つの形式ファイルを用いて以下の手順により暗号化を行います。

・ヘッダ（0x438 バイト）
・RSA-2048方式で暗号化された元のファイル名
・RSA-2048方式で暗号化された「AES方式」の鍵
・RSA-2048方式で暗号化された「RC4方式」の鍵
・RC4方式で暗号化されたデータ

1.  RC4 方式を用いて対象ファイルを暗号化
2. 生成した鍵とともに 500KB ごとのブロックへ分割
3. RC4方式の鍵をAES方式で暗号化しファイルへ保存
4. さらにこのAES方式の鍵をRSA-2048方式によって暗号化しファイルとして保存

暗号化された各ファイルは、RC4方式の鍵AES方式の鍵を含み、RSA-2048方式の公開鍵は共有され、復号化には複数のRSA鍵を入手する必要があるとのことです。

感染の対象となるファイル形式

Erebusは433種類の異なるファイル形式を感染可能な対象としますが、同時に以下のようなディレクトリ等、Webサーバとそこに保存されたデータの暗号化を主な暗号化対象とするとのことです。

引用元:http://blog.trendmicro.co.jp/archives/15273

関連リンク

ランサムウェア報告一覧

平成29年6月16日に公表されたErebusについての報告

被害事例一覧

Web脆弱性診断サービス

情報セキュリティ１１０番