Вымогатели eCh0raix устроили охоту на хранилища QNAP
28/12/21
Пользователи сетевых хранилищ (NAS) QNAP сообщили об участившихся атаках вымогательского ПО eCh0raix, также известного как QNAPCrypt.
eCh0raix регулярно атакует пользователей сетевых хранилищ QNAP и Synology, однако перед католическим Рождеством атаки усилились (число сообщений об атаках стало расти с 20 декабря), пишет BleepingComputer.
Скачок атак подтверждает и сервис ID Ransomware, позволяющий узнавать, какое вымогательское ПО использовалось для шифрования файлов в ходе атаки. Количество заявок на сайте начало расти 19 декабря и уменьшилось к 26 декабря.
Первоначальный вектор заражения на данный момент неизвестен. Одни пользователи признают, что не побеспокоились о надлежащей защите своих сетевых хранилищ (то есть, подключили их к интернету небезопасным образом). По словам других, во всем виновата уязвимость в приложении для упорядочивания фото и видео QNAP Photo Station.
Каким бы ни был вектор атаки, операторы eCh0raix создают на атакуемой системе пользователя в группе администраторов, что позволяет им шифровать все файлы в сетевом хранилище.
Примечательно, что злоумышленники допустили опечатку в расширении записки с требованием выкупа – использовали .TXTT вместо .TXT. Хотя это не мешает открыть записку и прочитать инструкции, у пользователей, которые должны указывать операционной системе, с помощью какой конкретной программы (например, «Блокнота») нужно открыть файл, могут возникнуть трудности.
Сумма требуемого ech0raix выкупа варьируется от 0,024 ($1,2 тыс.) до 0,06 ($3 тыс.) биткойнов. Хотя для файлов, зашифрованных более ранней версией вымогателя (до 17 июля 2019 года), есть бесплатный инструмент для расшифровки, для последних версий (1.0.5 и 1.0.6) декриптора нет.
Атаки с использованием eCh0raix/QNAPCrypt начались в июне 2019 года, и с тех пора вымогатель представляет постоянную угрозу. Ранее в этом году компания QNAP предупреждала пользователей об участившихся атаках eCh0raix на устройства с ненадежными паролями.