Mehrere Sicherheits Berichte zeigen, dass eine neue gefährliche Virus der eCh0raix Ransomware genannt gegen QNAP NAS-Gerät Besitzer verwendet wird. Es scheint, dass es in einer weltweiten Kampagne gesendet wird mit voreingestellten Optionen Hacking Konfiguration und automatisierte Toolkits.
eCh0raix Ransomware, die gegen QNAP NAS-Geräte weltweit
Eine laufende Angriff Kampagne wird auf QNAP NAS-Geräten festgelegt durch Endbenutzer und Anwender im Unternehmen im Besitz. Die Malware, die zur Zeit gegen sie verwendet wird, ist die Linux-basierte eCh0raix Ransomware. Im Moment gibt es keine Informationen über die kriminelle Gruppe hinter der Kampagne. Doch während der Code-Analyse scheint es, dass es eine ist schwarze Liste welche die Infektion zu stoppen, wenn das Gerät des Opfers in diesen Ländern ist: Weißrussland, Ukraine oder Russland. Das bedeutet, dass es sehr wahrscheinlich ist, dass die Kampagne ausgerichtet ist und dass die Hacker aus einem dieser Länder oder eines anderen russischsprachigen eine stammen.
Die aktuelle Version der eCh0raix Ransomware wird in dem schriftlichen Go Sprache und infiziert die Geräte über vorhandene Schwachstellen. Auf diese Weise kann der Hacker die Infektionen mit Penetrationstests Toolkits und Frameworks automatisieren. Sobald die Infektion das Virus hergestellt wird, wird eine sichere und dauerhafte Verbindung mit einem Hacker-kontrollierten Server herstellen. Einer der unterschiedlichen Eigenschaften der Bedrohung ist, dass sie die Verbindung über das Relais Tor-Netzwerk. Allerdings haben sich die aktiven Infektionen diese Funktionalität zur Zeit deaktiviert Wahl direkt mit den Hackern kommunizieren. Die Virus-Engine wurde programmiert, um eine Konfigurationsdatei abrufen, die sie weiter leiten werden.
Was folgt ist Dateiverschlüsselung basierend auf einer integrierten Liste von Zieltyp Dateierweiterungen. Dies wird in einer Art und Weise geschehen, die mit den Desktop-Ransomware-Varianten sehr ähnlich ist - eine Liste von Zieldaten verwendet, um eine starke Chiffre zu lenken. Das Ergebnis wird nicht zugänglich sensible Daten sein, eine Ransomware Nachricht wird an die Opfer gezeigt werden, was sich für eine Zahlung an den Hacker erpressen wird. Im Fall der analysierten Infektionen wird diese Meldung in einer Datei erstellt aufgerufen README_FOR_DECRYPT.txt. Bevor die Dateiverschlüsselung gestartet wird, wird es alle laufenden Web-Server deaktivieren, so dass der Prozess ohne Probleme abgeschlossen werden kann.
Die eingebaute Liste innerhalb der erfassten Proben beinhaltet die folgenden Dateierweiterungen gefunden:
.dat.db0.dba.dbf.dbm.dbx.dcr.der.dll.dml.dmp.dng.doc.dot.dwg.dwk.dwt.dxf.dxg.ece.eml.epk.eps.erf.esm. ewp.far.fdb.fit.flv.fmp.fos.fpk.fsh.fwp.gdb.gho.gif.gne.gpg.gsp.gxk.hdm.hkx.htc.htm.htx.hxs.idc.idx. ifx.iqy.iso.itl.itm.iwd.iwi.jcz.jpe.jpg.jsp.jss.jst.jvs.jws.kdb.kdc.key.kit.ksd.lbc.lbf.lrf.ltx.lvl. lzh.m3u.m4a.map.max.mdb.mdf.mef.mht.mjs.mlx.mov.moz.mp3.mpd.mpp.mvc.mvr.myo.nba.nbf.ncf.ngc.nod.nrw. nsf.ntl.nv2.nxg.nzb.oam.odb.odc.odm.odp.ods.odt.ofx.olp.orf.oth.p12.p7b.p7c.pac.pak.pdb.pdd.pdf.pef. pem.pfx.pgp.php.png.pot.ppj.pps.ppt.prf.pro.psd.psk.psp.pst.psw.ptw.ptx.pub.qba.qbb.qbo.qbw.qbx.qdf. qfx
Sobald die Datei-Verarbeitungsmodul die Benutzer überlassen werden mit verschlüsselten Dateien abgeschlossen hat.
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: