Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Вымогатель взламывает серверы со слабыми паролями, блокирует офисные и мультимедийные файлы, архивы и базы данных.
Исследователи обнаружили вымогательскую кампанию, направленную на сетевые хранилища QNAP. Злоумышленники взламывают серверы со слабыми паролями и требуют выкуп в 0,05–0,06 BTC (36–43 тыс. рублей по курсу на день публикации).
По сообщениям экспертов, новый шифровальщик eCh0raix — это компактная программа на языке Go (код занимает не более 400 строк). В настоящий момент известно об атаках на NAS-устройства QNAP TS-251, QNAP TS-451, QNAP TS-459 Pro II и QNAP TS 253B. Злоумышленники подбирали пароли к ним через брутфорс.
Связь с управляющим сервером eCh0raix поддерживает с помощью прокси SOCKS5. Вымогатель отправляет на управляющий узел информацию о пораженном хосте, скачивает требование о выкупе и публичный RSA-ключ, которым позже будет защищать ключи шифрования пользовательских данных.
Эксперты уточняют, что зловред не передает операторам системную информацию, чтобы в дальнейшем различать жертвы. По мнению исследователей, этой цели служит отдельный API, который позволяет обрабатывать запросы на получение специфических данных. В частности, с его помощью зловред получил порядковый номер — идентификатор кампании.
Эксперты отмечают, что операторы eCh0raix научили его прекращать активность при попадании на хосты в России, Белоруссии или на Украине. Географическую принадлежность зараженного устройства зловред определяет по раскладке клавиатуры.
Если пораженный NAS находится вне перечисленных стран, зловред завершает ряд процессов, связанных с взаимодействием с базами данных: apache2, nginx, mysqld, php-fpm и другие. Далее он определяет интересующие его файлы и шифрует их с помощью алгоритма AES.
Вымогателя интересуют документы Microsoft Office и OpenOffice, архивы, базы данных, PDF- и мультимедийные файлы. После преобразования они сохраняют название и получают расширение *.encrypt.
Создатели зловреда воспользовались тем, что на хранилищах QNAP нет нативных антивирусных систем. Эксперты также отмечают, что многие защитные средства пока не распознают новую угрозу — по данным VirusTotal, лишь 3 движка из 55 определяют eCh0raix как вредоносное ПО.
Исследователи утверждают, что создать декриптор к новому шифровальщику будет несложно: разработчики зловреда создают секретный ключ не на истинно случайной основе, а по определенному математическому алгоритму. Со своей стороны, компания QNAP подготовила рекомендации по защите от вымогателей.
В конце 2018 года пользователи NAS-устройств QNAP попали под атаку зловредного bash-сценария — скрипт проникал на хранилища, чтобы похитить администраторские пароли.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |