Casa » Notícia » eCh0raix ransomware ataca armazenamento de rede QNAP NAS

eCh0raix ransomware ataca armazenamento de rede QNAP NAS

Pesquisadores da Anomali Threat Research têm descoberto um novo codificador eCh0raix escrito em Go. O malware ataca os dispositivos QNAP NAS e criptografa os arquivos vítimas.

onfortunately, até agora não há nenhuma maneira para descriptografar os dados sem pagar o resgate para os atacantes.

Especialistas relatam que compromisso de dispositivos é realizada principalmente pela força bruta credenciais fracos e o uso de vulnerabilidades conhecidas. assim, nos fóruns da publicação BleepingComputer, usuários reclamaram sobre hacking QNAP NAS: QNAP TS-251, QNAP TS-451, QNAP TS-459 Pro II e QNAP TS 253B.

Embora o servidor de controle para o criptógrafo está localizado no Tor, não eCh0raix não contém um cliente Tor. Em vez de, operadores de malware criado um SOCKS5 procuração, através do qual ransomware se comunica com o servidor de gerenciamento.

além do que, além do mais, autores do malware parecem ter desenvolvido uma API especial que pode ser usado para consultar várias informações. Por exemplo, especialistas notaram que ransomware conectado à URL http://sg3dwqfpnr4sl5hh[.]Cebola / api / GetAvailKeysByCampId / 10 para obter a chave de criptografia pública com base no identificador de campanha (nesse caso, número campanha 10). Não é totalmente claro se esses identificadores estão associadas com campanhas pessoais dos criadores de vírus ou de seus parceiros.

Tendo penetrado um dispositivo vulnerável, eCh0raix primeiro executa uma verificação de idioma para determinar se o dispositivo pertence a determinados países (Belarus, Ucrânia ou a Rússia). Para dispositivos destes países, ransomware não vai criptografar arquivos. Se o ataque continua, as pesquisas de malware para e elimina os seguintes processos usando o

serviço de parada% s

ou

systemctl parar% s

comandos. Onde “%s” pode ser:

  • apache2
  • httpd
  • nginx
  • mysqld
  • mysqd
  • php-fpm
LER  New Dragonblood vulnerabilidades afetam WPA3 e revelar Wi-Fi senhas

O ransomware em seguida, criptografa documentos do Microsoft Office e OpenOffice, arquivos PDF, arquivos de texto, arquivo, bases de dados, fotos, música, vídeo, e arquivos de imagem. Depois disso, os atacantes exigir um resgate da vítima, no valor de 0.05-0.06 BTC ou mais.

Os pesquisadores apontam que a maioria dos dispositivos QNAP NAS não tem uma solução antimalware ativa, que permite criptografar eCh0raix dados livremente. Pior, mesmo se um produto anti-vírus está presente no dispositivo, o malware é improvável que seja detectado: de acordo com VirusTotal, até agora apenas três dos 55 produtos de segurança são capazes de perceber o codificador.

QNAP TS-459 Pro II
QNAP TS-459 Pro II
Atualmente não há nenhuma decryptor para eCh0raix, mas especialistas Anomali acreditam que ele pode ser criado. O fato é que eCh0raix usa um pacote de matemática para gerar uma chave secreta, o que não é criptograficamente aleatório. Por esta razão, pesquisadores aconselham as vítimas não se apressar para pagar o resgate até o ransomware não foi devidamente estudada.

Curiosamente, ao mesmo tempo com Anomali, o mesmo malwares foi descobertos e estudados por Intezer especialistas, dando-lhe o nome QNAPCrypt. Apesar, No geral, analistas Intezer chegaram às mesmas conclusões que os seus colegas, Eles também notaram que cada vítima do criptógrafo recebeu o endereço exclusivo de uma carteira bitcoin para o envio de um resgate. Além disso, descobriu-se que QNAPCrypt criptografa dispositivos somente após o servidor de gerenciamento foi-lhes atribuído o endereço carteira ea chave pública RSA.

Em breve, pesquisadores Intezer descobriu que a lista de tais carteiras foi criado com antecedência e é estático (isso é, o número de carteiras é limitada), e os atacantes’ infra-estrutura não executa nenhuma autenticação quando novos dispositivos estão conectados a ele, relatórios sobre a sua infecção.

LER  New BianLian Tróia espiões sobre a entrada de dados em aplicações bancárias Android

Os especialistas decidiram aproveitar essa nuance e encenou um ataque DoS aos operadores de malware. Imitando a infecção de quase 1,100 dispositivos, os pesquisadores rapidamente esgotado o fornecimento de Bitcoin única carteiras intrusos. Como um resultado, a campanha maliciosa foi temporariamente interrompido, porque a informação sobre os dispositivos infectados são criptografados somente após a atribuição da bolsa para o NAS infectado.

Infelizmente, os autores do vírus finalmente lidou com o DoS-ataque de especialistas e atualizado o código de seu malware, fazendo isto parecer Linux.Rex. Para combater o ataque de especialistas, hackers colocado a chave RSA e informações sobre a carteira estática dentro do arquivo executável, o qual é entregue para as máquinas de destino.

[Total: 1    Média: 5/5]

Sobre Trojan Killer

Carry Trojan Killer portátil em seu memory stick. Certifique-se que você é capaz de ajudar o seu PC resistir a quaisquer ameaças cibernéticas onde quer que vá.

Além disso, verifique

Vulnerabilidade no Trend Micro

Vulnerabilidade no Trend Micro Password Manager coloca em risco os usuários do Windows

pesquisadores SafeBreach encontrou uma vulnerabilidade no Trend Micro Password Manager. Usando este problema de segurança, …

Android Banker Cerberus

Android Banker Cerberus Usa pedômetro para evitar a detecção

Recentemente, muitos Trojans Android populares (tal como anubis, Alerta vermelho 2.0, GM-bot e Exobot) ter …

Deixar uma resposta