Varios informes de seguridad indican que un nuevo virus peligroso llamado el ransomware eCh0raix está siendo utilizado contra los propietarios de dispositivos NAS de QNAP. Parece ser que se está enviando en unos campañas en todo el mundo utilizando preestablecido piratería opciones de configuración y herramientas automatizadas.
eCh0raix ransomware dirigida contra QNAP NAS Dispositivos de todo el mundo
Una campaña de ataque en curso se establece en dispositivos NAS de QNAP propiedad de los usuarios finales y los usuarios de empresas. El malware que se utiliza actualmente en contra de ellos es el ransomware eCh0raix basado en Linux. Por el momento no hay información sobre el grupo criminal detrás de la campaña. Sin embargo, durante el análisis de código, parece que hay una lista negra que detendrá la infección si el dispositivo de la víctima se encuentra en estos países: Belarús, Ucrania o Rusia. Esto significa que es muy probable que la campaña está dirigida y que los hackers pueden proceder de uno de estos países o en otro de habla rusa uno.
La versión actual de la eCh0raix ransomware está escrito en el Ir idioma y infecta a los dispositivos a través de las vulnerabilidades existentes. Esto permite a los piratas informáticos para automatizar las infecciones usando kits de herramientas de pruebas de penetración y marcos. Tan pronto como se hace la infección por el virus establecerá una conexión segura y persistente a un servidor pirata informático controlado. Una de las características distintivas de la amenaza es que se va a transmitir la conexión a través de la Tor Red. Sin embargo, las infecciones activas han desactivado esta funcionalidad en el momento de elegir para comunicarse directamente con los piratas informáticos. El motor de virus ha sido programado para recuperar un archivo de configuración que dirigirá más a fondo.
Lo que sigue es cifrado de archivos sobre la base de una lista integrada de extensiones de tipos de archivo de destino. Esto se hace de una manera que es muy similar a las variantes ransomware escritorio - una lista de datos de destino se utiliza para dirigir un fuerte sistema de cifrado. El resultado será inaccesible datos sensibles, un mensaje ransomware se mostrará a las víctimas que extorsionan para el pago a los piratas informáticos. En el caso de las infecciones analizados se crea este mensaje en un archivo llamado README_FOR_DECRYPT.txt. Antes de que se inicie el cifrado de archivos se desactivará cualquier servidor Web que se ejecutan de manera que el proceso se puede completar sin problemas.
La lista integrada encontrado dentro de las muestras capturadas incluye las siguientes extensiones de archivos:
.dat.db0.dba.dbf.dbm.dbx.dcr.der.dll.dml.dmp.dng.doc.dot.dwg.dwk.dwt.dxf.dxg.ece.eml.epk.eps.erf.esm. ewp.far.fdb.fit.flv.fmp.fos.fpk.fsh.fwp.gdb.gho.gif.gne.gpg.gsp.gxk.hdm.hkx.htc.htm.htx.hxs.idc.idx. ifx.iqy.iso.itl.itm.iwd.iwi.jcz.jpe.jpg.jsp.jss.jst.jvs.jws.kdb.kdc.key.kit.ksd.lbc.lbf.lrf.ltx.lvl. lzh.m3u.m4a.map.max.mdb.mdf.mef.mht.mjs.mlx.mov.moz.mp3.mpd.mpp.mvc.mvr.myo.nba.nbf.ncf.ngc.nod.nrw. nsf.ntl.nv2.nxg.nzb.oam.odb.odc.odm.odp.ods.odt.ofx.olp.orf.oth.p12.p7b.p7c.pac.pak.pdb.pdd.pdf.pef. pem.pfx.pgp.php.png.pot.ppj.pps.ppt.prf.pro.psd.psk.psp.pst.psw.ptw.ptx.pub.qba.qbb.qbo.qbw.qbx.qdf. qfx
Tan pronto como el módulo de procesamiento de archivos ha completado los usuarios se quedan con los archivos cifrados.