Diversi rapporti di sicurezza indicano che un nuovo virus pericoloso chiamato ransomware eCh0raix viene utilizzato contro i proprietari di dispositivi NAS QNAP. Sembra che sia stato inviato in tutto il mondo che utilizzano campagne di preset di hacking opzioni di configurazione e toolkit automatizzati.
eCh0raix ransomware diretta contro QNAP NAS dispositivi in tutto il mondo
Una campagna di attacco in corso è impostato su dispositivi NAS QNAP di proprietà di entrambi gli utenti finali e gli utenti aziendali. Il malware attualmente utilizzata contro di loro è il eCh0raix ransomware basato su Linux. Al momento non ci sono informazioni per quanto riguarda il gruppo criminale dietro la campagna. Tuttavia durante l'analisi del codice sembra che ci sia un lista nera che si fermerà l'infezione se il dispositivo della vittima si trova in questi paesi: Bielorussia, Ucraina o la Russia. Ciò significa che è molto probabile che la campagna è mirata e che gli hacker possono provenire da uno di questi paesi o di un'altra lingua russa una.
La versione attuale del eCh0raix ransomware è scritto nel Go Lingua e infetta i dispositivi tramite vulnerabilità esistenti. Questo permette gli hacker di automatizzare le infezioni utilizzando toolkit test di penetrazione e quadri. Non appena l'infezione è fatto il virus stabilire una connessione sicura e persistente ad un server degli hacker controllato. Una delle caratteristiche distintive della minaccia è che trasmetterà la connessione attraverso la Tor Network. Tuttavia le infezioni attive hanno disabilitato questa funzionalità al momento scegliendo di comunicare direttamente con gli hacker. Il motore antivirus è stato programmato per recuperare un file di configurazione, che dirigerà ulteriormente.
Ciò che seguirà è crittografia dei file sulla base di un elenco di built-in di estensioni di file di destinazione. Questo viene fatto in un modo che è molto simile alle varianti del desktop ransomware - un elenco di dati di destinazione viene utilizzato per indirizzare un forte cifratura. Il risultato sarà di dati sensibili inaccessibili, un messaggio ransomware verrà mostrato alle vittime che li estorcere un pagamento per gli hacker. Nel caso delle infezioni analizzati si crea questo messaggio in un file chiamato README_FOR_DECRYPT.txt. Prima di avviare la crittografia dei file che consente di disattivare qualsiasi server web in esecuzione in modo che il processo può completare senza problemi.
La lista built-in trovato all'interno dei campioni acquisiti include le seguenti estensioni di file:
.dat.db0.dba.dbf.dbm.dbx.dcr.der.dll.dml.dmp.dng.doc.dot.dwg.dwk.dwt.dxf.dxg.ece.eml.epk.eps.erf.esm. ewp.far.fdb.fit.flv.fmp.fos.fpk.fsh.fwp.gdb.gho.gif.gne.gpg.gsp.gxk.hdm.hkx.htc.htm.htx.hxs.idc.idx. ifx.iqy.iso.itl.itm.iwd.iwi.jcz.jpe.jpg.jsp.jss.jst.jvs.jws.kdb.kdc.key.kit.ksd.lbc.lbf.lrf.ltx.lvl. lzh.m3u.m4a.map.max.mdb.mdf.mef.mht.mjs.mlx.mov.moz.mp3.mpd.mpp.mvc.mvr.myo.nba.nbf.ncf.ngc.nod.nrw. nsf.ntl.nv2.nxg.nzb.oam.odb.odc.odm.odp.ods.odt.ofx.olp.orf.oth.p12.p7b.p7c.pac.pak.pdb.pdd.pdf.pef. pem.pfx.pgp.php.png.pot.ppj.pps.ppt.prf.pro.psd.psk.psp.pst.psw.ptw.ptx.pub.qba.qbb.qbo.qbw.qbx.qdf. qfx
Non appena il modulo di elaborazione di file ha completato gli utenti saranno lasciati con file crittografati.
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: