最近出现了一个专门攻击 QNAP 品牌网路储存(NAS)装置的勒索病毒/勒索软体家族。这个由威胁情报平台供应商 Anomali 的资安研究人员命名为「eCh0raix」的勒索病毒(趋势科技命名为 Ransom.Linux.ECHORAIX.A),据报是专为针对性攻击而设计的勒索病毒,与之前的 Ryuk 或 LockerGoga 的用途相似。
NAS 装置是一种专门用来储存、备份、分享档案的连网装置,可作为资料的集散中心,方便所有使用者存取资料。对许多企业机构来说,这是一种低成本、可扩充的储存解决方案。据统计,约有 80% 的企业机构皆使用这类装置。
藉由语言地区判断 NAS 装置位置继而停止执行
eCh0raix 勒索病毒是采用 Go/Golang 程式语言所撰写,这是一种逐渐被用于开发恶意程式的语言。eCh0raix 会藉由语言地区检查来判断 NAS 装置的所在位置,如果位于独立国协(CIS)的某些国家境内,如:白俄罗斯、乌克兰和俄罗斯,eCh0raix 就会终止执行。eCh0raix 可加密的档案包括:文件、文字档、PDF、压缩档、资料库、多媒体档案等。
此勒索病毒要求的赎金大约是 0.05 – 0.06 比特币,受害者需透过某个 Tor 洋葱网路上的网站来支付以取得解密金钥。根据网路媒体 BleepingComputer 的报导指出,该病毒在网路上似乎已经有 Windows 和 macOS 的对应解密工具。受此勒索病毒影响的 QNAP NAS 装置型号包括:QNAP TS-251、QNAP TS-451、QNAP TS-459 Pro II 及 QNAP TS 253B。
尽管专家对该病毒的确切感染途径仍不清楚,但据 BleepingComputer 的论坛贴文指出,被感染的 NAS 装置都未安装最新的修补程式,而且密码强度也不足。这表示 eCh0raix 的幕后集团很可能是利用暴力破解方式或者攻击装置漏洞来入侵这些 NAS 装置。
今年最新出现特化档案加密勒索病毒之一
此外研究人员也指出,eCh0raix 有别于一般典型的勒索病毒家族,似乎是专为针对性攻击而设计。例如,eCh0raix 的离线版本即内含针对某些特定目标而写死的加密金钥,而解密金钥也随个别目标而有所不同。
eCh0raix 并非第一个专为攻击 NAS 装置而设计的勒索病毒家族,但却是今年出现的几个最新特化档案加密勒索病毒之一。许多威胁都是利用系统安全性的弱点,例如 eCh0raix 利用的是系统漏洞和使用者密码强度不足的弱点。
根据 Anomali 的网路扫瞄结果显示,美国有高达 19,000 台 QNAP NAS 装置正暴露在公共网路上。一般来说,NAS 装置上并不会安装恶意程式防护软体,因此很容易遭到攻击,尤其是来自网路犯罪集团的针对性攻击。
对于旗下产品遭到 eCh0raix 勒索病毒针对,QNAP Systems 已经提出一些针对勒索病毒的防范建议,例如启用 QNAP 的快照功能来备份及复原档案。
(文章获 趋势科技资安趋势部落格 授权转载)
