相關文章

1a6872b1e9c59a76a84e4576d12156bb 早在2014年的時候,Synology推出的NAS就成為勒索軟體SynoLocker下手的目標,而根據資安公司Anomali與Intezer的研究,QNAP的NAS產品也正遭受名為eCh0raix或QNAPCrypt惡意軟體的攻擊,讓被害者可能損失NAS中的重要資料。

勒索軟體盯上QNAP

根據Anomali官方部落格所提供的資料,他們將這款勒索軟體稱為eCh0raix,它會以暴力破解的方式入侵QNAP推出的NAS,並使用AES加密演算法鎖定特定副檔名的文件。

受影響之檔案路徑:
    /proc
    /boot/
    /sys/
    /run/
    /dev/
    /etc/
    /home/httpd
    /mnt/ext/opt
    .system/thumbnail
    .system/opt
    .config
    .qpkg

受影響之檔案副檔名:
.dat.db0.dba.dbf.dbm.dbx.dcr.der.dll.dml.dmp.dng.doc.dot.dwg.dwk
.dwt.dxf.dxg.ece.eml.epk.eps.erf.esm.ewp.far.fdb.fit.flv.fmp.fos.fpk
.fsh.fwp.gdb.gho.gif.gne.gpg.gsp.gxk.hdm.hkx.htc.htm.htx.hxs.idc
.idx.ifx.iqy.iso.itl.itm.iwd.iwi.jcz.jpe.jpg.jsp.jss.jst.jvs.jws.kdb.kdc
.key.kit.ksd.lbc.lbf.lrf.ltx.lvl.lzh.m3u.m4a.map.max.mdb.mdf.mef
.mht.mjs.mlx.mov.moz.mp3.mpd.mpp.mvc.mvr.myo.nba.nbf.ncf
.ngc.nod.nrw.nsf.ntl.nv2.nxg.nzb.oam.odb.odc.odm.odp.ods.odt
.ofx.olp.orf.oth.p12.p7b.p7c.pac.pak.pdb.pdd.pdf.pef.pem.pfx.pgp
.php.png.pot.ppj.pps.ppt.prf.pro.psd.psk.psp.pst.psw.ptw.ptx.pub
.qba.qbb.qbo.qbw.qbx.qdf.qfx

Intezer則在官方部落格以QNAPCrypt稱呼這款惡意軟體,並發現它有針對Armx86等不同架構處理器攻擊的變種病毒,它的運作方式與一般勒索軟體接近,就是將受害裝置中的檔案加密,讓檔案無法被存取,並向受害者發送勒索信要求贖金以解鎖這些檔案。

然而與常見勒索軟體不同的是,由於攻擊目標是NAS而非電腦,所以勒索信並不會直些顯示於螢幕,而是以文字檔的型式出現,在NAS遭受感染後,QNAPCrypt會先從命令和控制伺服器(C&C)下載比特幣錢包地址與RSA公鑰,且每位受害者都會被分配到獨特的錢包,讓我們更難追踪攻擊者的身份。

Intezer透過自動化腳本建立大量「虛擬」受害者,以分析勒索軟體的行為。(圖片來源:Intezer,下同)

QNAPCrypt要求受害者使用比特幣支付贖金。

在研究的過程中,Intezer發現QNAPCrypt使用的預先建立的比特幣錢包接收贖金,而在1,091名「虛擬」受害者感染後,QNAPCrypt用盡了所有比特幣錢包,因此會停止感染新的NAS,讓災情得以緩和。此外為了防堵QNAPCrypt未來會有新的變種病毒,Intezer也建立了對應的YARA簽名,以利辨識這款勒索軟體。

使用 Facebook 留言

發表回應

謹慎發言,尊重彼此。按此展開留言規則