08/06/20
Операторы вымогательского ПО eCh0raix организовали вредоносную кампанию, нацеленную на сетевые хранилища (NAS) QNAP. Вредонос компрометирует устройства путем брутфорса и эксплуатации известных уязвимостей в сетевых хранилищах ( CVE-2018-19943, CVE-2018-19949 и CVE-2018-19953 ), которые позволяют внедрить или удаленно выполнить код.
Как только злоумышленники получают доступ к устройству, они устанавливают вымогательское ПО, шифрующее файлы на системе жертвы и добавляющее расширение .encrypt к имени файлов. Затем жертва получает сообщение с требованием выкупа README_FOR_DECRYPT.txt, содержащее ссылку на сайт оплаты. За расшифровку данных злоумышленники требуют заплатить выкуп в размере 0,0547 BTC (примерно $500).
По словам пострадавших, после шифрования в AppCenter устройства появляются приложения QNAP со странными названиями. Неизвестно, являются ли они вредоносными пакетами, установленными преступниками, или загруженными пользователем пакетами, которые были зашифрованы.
В настоящее время нет способа восстановить файлы самостоятельно, если сервис моментальных снимков системы (Snapshot) на сетевых хранилищах QNAP был отключен. Данная функция позволяет использовать снимки для восстановления данных.
QNAP исправила уязвимости в версиях операционной системы QTS 4.4.1 (сборка 20190918 и младше) и QTS 4.3.6 (сборка 20190919 и младше).
Напомним, атаки с использованием вредоносного ПО eCh0raix были впервые обнаружены в июле прошлого года. Тогда компании QNAP и Synology предупредили пользователей об атаках с использованием вымогателя eCh0raix на сетевые накопители. В рамках атак злоумышленники похитили учетные данные администратора, с их помощью получили доступ к устройствам и зашифровали хранившуюся на них информацию.
