最近呈现了一个专门进犯 QNAP 品牌网路贮存(NAS)设备的勒索病毒/勒索软体宗族。这个由要挟情报渠道供货商 Anomali 的资安研究人员命名为「eCh0raix」的勒索病毒(趋势科技命名为 Ransom.Linux.ECHORAIX.A),据报是专为针对性进犯而规划的勒索病毒,与之前的 Ryuk 或 LockerGoga 的用处类似。
NAS 设备是一种专门用来贮存、备份、共享档案的连网设备,可作为材料的集散中心,便利一切运用者存取材料。对许多企业组织来说,这是一种低成本、可扩大的贮存解决方案。据统计,约有 80% 的企业组织皆运用这类设备。
藉由言语区域判别 NAS 设备方位继而中止履行
eCh0raix 勒索病毒是选用 Go/Golang 程式言语所编撰,这是一种逐步被用于开发歹意程式的言语。eCh0raix 会藉由言语区域查看来判别 NAS 设备的所在方位,假如坐落独立国协(CIS)的某些国家境内,如:白俄罗斯、乌克兰和俄罗斯,eCh0raix 就会停止履行。eCh0raix 可加密的档案包含:文件、文字档、PDF、紧缩档、材料库、多媒体档案等。
此勒索病毒要求的赎金大约是 0.05 – 0.06 比特币,受害者需透过某个 Tor 洋葱网路上的网站来付出以获得解密金钥。依据网路媒体 BleepingComputer 的报道指出,该病毒在网路上好像现已有 Windows 和 macOS 的对应解密东西。受此勒索病毒影响的 QNAP NAS 设备类型包含:QNAP TS-251、QNAP TS-451、QNAP TS-459 Pro II 及 QNAP TS 253B。
虽然专家对该病毒的切当感染途径仍不清楚,但据 BleepingComputer 的论坛贴文指出,被感染的 NAS 设备都未设备最新的修补程式,并且暗码强度也缺乏。这表明 eCh0raix 的暗地集团很可能是使用暴力破解方法或许进犯设备缝隙来侵略这些 NAS 设备。
本年最新呈现特化档案加密勒索病毒之一
此外研究人员也指出,eCh0raix 有别于一般典型的勒索病毒宗族,好像是专为针对性进犯而规划。例如,eCh0raix 的离线版别即内含针对某些特定方针而写死的加密金钥,而解密金钥也随单个方针而有所不同。
eCh0raix 并非第一个专为进犯 NAS 设备而规划的勒索病毒宗族,但却是本年呈现的几个最新特化档案加密勒索病毒之一。许多要挟都是使用体系安全性的缺点,例如 eCh0raix 使用的是体系缝隙和运用者暗码强度缺乏的缺点。
依据 Anomali 的网路扫瞄成果显现,美国有高达 19,000 台 QNAP NAS 设备正暴露在公共网路上。一般来说,NAS 设备上并不会设备歹意程式防护软体,因而很简单遭到进犯,尤其是来自网路犯罪集团的针对性进犯。
关于旗下产品遭到 eCh0raix 勒索病毒针对,QNAP Systems 现已提出一些针对勒索病毒的防备主张,例如启用 QNAP 的快照功能来备份及恢复档案。
(文章获 趋势科技资安趋势部落格