勒索軟體盯上QNAP
根據Anomali官方部落格所提供的資料,他們將這款勒索軟體稱為eCh0raix,它會以暴力破解的方式入侵QNAP推出的NAS,並使用AES加密演算法鎖定特定副檔名的文件。
受影響之檔案路徑:
/proc
/boot/
/sys/
/run/
/dev/
/etc/
/home/httpd
/mnt/ext/opt
.system/thumbnail
.system/opt
.config
.qpkg受影響之檔案副檔名:
.dat.db0.dba.dbf.dbm.dbx.dcr.der.dll.dml.dmp.dng.doc.dot.dwg.dwk
.dwt.dxf.dxg.ece.eml.epk.eps.erf.esm.ewp.far.fdb.fit.flv.fmp.fos.fpk
.fsh.fwp.gdb.gho.gif.gne.gpg.gsp.gxk.hdm.hkx.htc.htm.htx.hxs.idc
.idx.ifx.iqy.iso.itl.itm.iwd.iwi.jcz.jpe.jpg.jsp.jss.jst.jvs.jws.kdb.kdc
.key.kit.ksd.lbc.lbf.lrf.ltx.lvl.lzh.m3u.m4a.map.max.mdb.mdf.mef
.mht.mjs.mlx.mov.moz.mp3.mpd.mpp.mvc.mvr.myo.nba.nbf.ncf
.ngc.nod.nrw.nsf.ntl.nv2.nxg.nzb.oam.odb.odc.odm.odp.ods.odt
.ofx.olp.orf.oth.p12.p7b.p7c.pac.pak.pdb.pdd.pdf.pef.pem.pfx.pgp
.php.png.pot.ppj.pps.ppt.prf.pro.psd.psk.psp.pst.psw.ptw.ptx.pub
.qba.qbb.qbo.qbw.qbx.qdf.qfx
Intezer則在官方部落格以QNAPCrypt稱呼這款惡意軟體,並發現它有針對Arm與x86等不同架構處理器攻擊的變種病毒,它的運作方式與一般勒索軟體接近,就是將受害裝置中的檔案加密,讓檔案無法被存取,並向受害者發送勒索信要求贖金以解鎖這些檔案。
然而與常見勒索軟體不同的是,由於攻擊目標是NAS而非電腦,所以勒索信並不會直些顯示於螢幕,而是以文字檔的型式出現,在NAS遭受感染後,QNAPCrypt會先從命令和控制伺服器(C&C)下載比特幣錢包地址與RSA公鑰,且每位受害者都會被分配到獨特的錢包,讓我們更難追踪攻擊者的身份。
在研究的過程中,Intezer發現QNAPCrypt使用的預先建立的比特幣錢包接收贖金,而在1,091名「虛擬」受害者感染後,QNAPCrypt用盡了所有比特幣錢包,因此會停止感染新的NAS,讓災情得以緩和。此外為了防堵QNAPCrypt未來會有新的變種病毒,Intezer也建立了對應的YARA簽名,以利辨識這款勒索軟體。
加入電腦王Facebook粉絲團