Plusieurs rapports de sécurité indiquent qu'un nouveau virus dangereux appelé le ransomware de eCh0raix est utilisé contre les propriétaires de l'appareil Nas QNAP. Il semble qu'il est envoyé dans une campagne dans le monde entier en utilisant les options de configuration prédéfinie et des boîtes à outils de hacking automatisés.
eCh0raix Ransomware Destinée contre NAS QNAP Devices dans le monde entier
Une campagne d'attaque en cours est mis sur des appareils NAS QNAP appartenant à la fois aux utilisateurs finaux et les utilisateurs d'entreprise. Le logiciel malveillant qui est actuellement utilisé contre eux est le eCh0raix basé sur Linux ransomware. À l'heure actuelle il n'y a pas d'informations sur le groupe criminel derrière la campagne. Cependant lors de l'analyse de code, il semble qu'il y ait un liste noire qui arrêtera l'infection si le dispositif de la victime se trouve dans ces pays: Belarus, Ukraine ou la Russie. Cela signifie qu'il est très probable que la campagne est ciblée et que les pirates peuvent provenir d'un de ces pays ou un autre russophone.
La version actuelle du eCh0raix Ransomware est écrit dans le Go Langue et infecte les appareils via les vulnérabilités existantes. Cela permet aux pirates d'automatiser les infections en utilisant des boîtes à outils de tests de pénétration et des cadres. Dès que l'infection est fait le virus établira une connexion sécurisée et persistante à un serveur contrôlé hacker. L'une des caractéristiques distinctes de la menace est qu'il relaie la connexion à travers la Réseau Tor. Cependant, les infections actives ont désactivé cette fonctionnalité au moment de choisir de communiquer directement avec les pirates. Le moteur de virus a été programmé pour récupérer un fichier de configuration qui lui diriger plus.
Ce qui va suivre est le cryptage des fichiers sur la base d'une liste intégrée des extensions de type de fichier cible. Cela se fait d'une manière qui est très similaire aux variantes ransomware de bureau - une liste de données cible est utilisé pour diriger un algorithme de chiffrement fort. Le résultat sera des données sensibles inaccessibles, un message ransomware sera présenté aux victimes qui leur extorquer un paiement aux pirates. Dans le cas des infections analysées ce message est créé dans un fichier appelé README_FOR_DECRYPT.txt. Avant que le cryptage des fichiers est démarré, il désactive tous les serveurs Web en cours d'exécution afin que le processus peut se terminer sans problèmes.
La liste intégrée trouvée dans les échantillons capturés comprend les extensions de fichier suivantes:
.dat.db0.dba.dbf.dbm.dbx.dcr.der.dll.dml.dmp.dng.doc.dot.dwg.dwk.dwt.dxf.dxg.ece.eml.epk.eps.erf.esm. ewp.far.fdb.fit.flv.fmp.fos.fpk.fsh.fwp.gdb.gho.gif.gne.gpg.gsp.gxk.hdm.hkx.htc.htm.htx.hxs.idc.idx. ifx.iqy.iso.itl.itm.iwd.iwi.jcz.jpe.jpg.jsp.jss.jst.jvs.jws.kdb.kdc.key.kit.ksd.lbc.lbf.lrf.ltx.lvl. lzh.m3u.m4a.map.max.mdb.mdf.mef.mht.mjs.mlx.mov.moz.mp3.mpd.mpp.mvc.mvr.myo.nba.nbf.ncf.ngc.nod.nrw. nsf.ntl.nv2.nxg.nzb.oam.odb.odc.odm.odp.ods.odt.ofx.olp.orf.oth.p12.p7b.p7c.pac.pak.pdb.pdd.pdf.pef. pem.pfx.pgp.php.png.pot.ppj.pps.ppt.prf.pro.psd.psk.psp.pst.psw.ptw.ptx.pub.qba.qbb.qbo.qbw.qbx.qdf. qfx
Dès que le module de traitement de fichiers a terminé les utilisateurs seront laissés avec des fichiers cryptés.
Martin Beltov
Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.
Suivez-moi: