Adskillige sikkerheds rapporter viser, at en ny farlig virus kaldet eCh0raix ransomware bliver brugt imod QNAP Nas ejere enhed. Det fremgår, at det bliver sendt i en verdensomspændende kampagner ved hjælp af forudindstillede hacking konfigurationsmuligheder og automatiserede toolkits.
eCh0raix Ransomware Rettet mod QNAP NAS-enheder Worldwide
En igangværende angreb kampagne er sat på QNAP NAS-enheder, der ejes af både slutbrugere og virksomhedsbrugere. Den malware som i øjeblikket bruges mod dem er Linux-baserede eCh0raix ransomware. I øjeblikket er der ingen oplysninger om den kriminelle gruppe bag kampagnen. under kode analyse Det ser imidlertid, at der er en sortliste som vil stoppe infektion, hvis ofrets enheden er placeret i disse lande: Hviderusland, Ukraine eller Rusland. Det betyder, at det er meget sandsynligt, at kampagnen er målrettet, og at hackere kan stamme fra et af disse lande eller en anden russisk-talende én.
Den nuværende version af eCh0raix Ransomware er skrevet i Go Sprog og inficerer enheder via eksisterende svagheder. Dette gør det muligt for hackere at automatisere infektioner under anvendelse af værktøjer og rammer penetration test. Så snart infektionen er lavet virussen vil etablere en sikker og vedvarende forbindelse til en hacker-kontrolleret server. Et af de særlige karakteristika for truslen er, at det vil viderebringe forbindelsen gennem Tor-netværket. de aktive infektioner har dog deaktiveret denne funktionalitet i øjeblikket vælger at kommunikere direkte med hackere. Den virus motoren er blevet programmeret til at hente en konfigurationsfil, som vil lede den videre.
Hvad vil følge er fil kryptering baseret på en indbygget liste over mål filtype extensions. Dette gøres på en måde, som er meget lig de stationære ransomware varianter - en liste over mål data bliver brugt til at lede en stærk cipher. Resultatet vil være utilgængelige følsomme data, en ransomware besked vil blive vist til ofrene, som vil afpresse dem for en betaling til hackere. I tilfældet med de analyserede infektioner denne meddelelse er skabt i en fil kaldet README_FOR_DECRYPT.txt. Før den fil kryptering er startet, vil deaktivere alle kører webservere, således at processen kan gennemføre uden problemer.
Den indbyggede liste findes inden tilfangetagne prøver indeholder følgende filtype udvidelser:
.dat.db0.dba.dbf.dbm.dbx.dcr.der.dll.dml.dmp.dng.doc.dot.dwg.dwk.dwt.dxf.dxg.ece.eml.epk.eps.erf.esm. ewp.far.fdb.fit.flv.fmp.fos.fpk.fsh.fwp.gdb.gho.gif.gne.gpg.gsp.gxk.hdm.hkx.htc.htm.htx.hxs.idc.idx. ifx.iqy.iso.itl.itm.iwd.iwi.jcz.jpe.jpg.jsp.jss.jst.jvs.jws.kdb.kdc.key.kit.ksd.lbc.lbf.lrf.ltx.lvl. lzh.m3u.m4a.map.max.mdb.mdf.mef.mht.mjs.mlx.mov.moz.mp3.mpd.mpp.mvc.mvr.myo.nba.nbf.ncf.ngc.nod.nrw. nsf.ntl.nv2.nxg.nzb.oam.odb.odc.odm.odp.ods.odt.ofx.olp.orf.oth.p12.p7b.p7c.pac.pak.pdb.pdd.pdf.pef. pem.pfx.pgp.php.png.pot.ppj.pps.ppt.prf.pro.psd.psk.psp.pst.psw.ptw.ptx.pub.qba.qbb.qbo.qbw.qbx.qdf. qfx
Så snart filen behandling modulet er afsluttet brugerne vil stå tilbage med krypterede filer.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: