Verschillende security rapporten geven aan dat er een nieuwe gevaarlijke virus genaamd de eCh0raix ransomware wordt gebruikt tegen QNAP NAS apparaat eigenaren. Het lijkt erop dat het in een wereldwijde campagnes met behulp van vooraf ingestelde hacking configuratie-opties en geautomatiseerde toolkits wordt verzonden.
eCh0raix Ransomware Gericht Tegen QNAP NAS apparaten wereldwijd
Een lopende aanval campagne is ingesteld op QNAP NAS-apparaten die eigendom zijn van zowel eindgebruikers als zakelijke gebruikers. De malware die momenteel wordt gebruikt tegen hen is de -Linux gebaseerde eCh0raix ransomware. Op dit moment is er geen informatie over de criminele groep achter de campagne. Maar tijdens de codeanalyse blijkt dat er een blacklist waar de besmetting stopt als het apparaat van het slachtoffer is gevestigd in deze landen: Wit-Rusland, Oekraïne of Rusland. Dit betekent dat het zeer waarschijnlijk is dat de campagne is gericht en dat de hackers kunnen afkomstig zijn uit één van deze landen of een ander Russisch-sprekende één.
De huidige versie van de eCh0raix Ransomware is geschreven in de Go Taal en infecteert de apparaten via bestaande kwetsbaarheden. Hierdoor kan de hackers om de infecties te automatiseren met behulp van penetration testing toolkits en frameworks. Zodra de infectie wordt gemaakt het virus zal een veilige en permanente verbinding naar een hacker gecontroleerde server vast te stellen. Een van de specifieke kenmerken van de dreiging is dat de verbinding door het zal doorgeven Tor Network. Echter, de actieve infecties hebben deze functionaliteit op dit moment te kiezen om direct te communiceren met de hackers uitgeschakeld. Het virus engine is geprogrammeerd om een configuratie bestand dat verder zal worden direct op te halen.
Wat volgt is bestandsencryptie gebaseerd op een ingebouwde lijst van target bestandsextensies. Dit gebeurt op een manier die sterk lijkt op de desktop ransomware varianten - een lijst van gerichte data wordt gebruikt om een sterke cipher sturen. Het resultaat zal ontoegankelijk gevoelige gegevens zijn, een ransomware boodschap wordt getoond aan de slachtoffers die hen persen een betaling aan de hackers. Bij het geanalyseerde infecties dit bericht gemaakt in een bestand genaamd README_FOR_DECRYPT.txt. Voordat het bestand encryptie wordt gestart zal het alle actieve webservers uitschakelen zodat het proces kan voltooien zonder problemen.
De ingebouwde lijst te vinden in de opgenomen samples bevat de volgende bestandsextensies:
.dat.db0.dba.dbf.dbm.dbx.dcr.der.dll.dml.dmp.dng.doc.dot.dwg.dwk.dwt.dxf.dxg.ece.eml.epk.eps.erf.esm. ewp.far.fdb.fit.flv.fmp.fos.fpk.fsh.fwp.gdb.gho.gif.gne.gpg.gsp.gxk.hdm.hkx.htc.htm.htx.hxs.idc.idx. ifx.iqy.iso.itl.itm.iwd.iwi.jcz.jpe.jpg.jsp.jss.jst.jvs.jws.kdb.kdc.key.kit.ksd.lbc.lbf.lrf.ltx.lvl. lzh.m3u.m4a.map.max.mdb.mdf.mef.mht.mjs.mlx.mov.moz.mp3.mpd.mpp.mvc.mvr.myo.nba.nbf.ncf.ngc.nod.nrw. nsf.ntl.nv2.nxg.nzb.oam.odb.odc.odm.odp.ods.odt.ofx.olp.orf.oth.oth.p12.p7b.p7c.pac.pak.pdb.pdd.pdf.pef. pem.pfx.pgp.php.png.pot.ppj.pps.ppt.prf.pro.psd.psk.psp.pst.psw.ptw.ptx.pub.qba.qbb.qbo.qbw.qbx.qdf. qfx
Zodra het bestand verwerking module is voltooid zullen de gebruikers worden gelaten met versleutelde bestanden.