针对台湾QNAP Systems生产NAS设备(基于Linux)的勒索病毒被曝光。NAS设备是连接到网络或通过Internet的专用文件存储单元,适用于家庭和小型企业,允许用户使用多台计算机存储和共享数据和备份。

新的勒索软件系列被由两家独立的安全公司Intezer和Anomali发现,它们通过弱SSH凭证或利用已知漏洞来攻击保护不良或易受攻击的QNAP NAS服务器。

被Intezer称为“QNAPCrypt”、Anomali称为“eCh0raix”的新勒索软件是用Go编程语言编写的,使用AES加密对目标加密,并为每个文件附加.encrypt扩展名。

但是,如果受损的NAS设备位于白俄罗斯、乌克兰或俄罗斯、则勒索软件会终止文件加密过程并退出,不会对文件造成任何损害。

勒索软件首先连接到受Tor网络保护的远程C&C服务器,使用SOCKS5 Tor代理向攻击者告知新的受害者。

“根据分析,很明显恶意软件作者已经建立了代理,以便在不包含恶意软件中的Tor功能的情况下为Tor网络提供对恶意软件的访问,”Anomali研究人员表示。

在加密文件之前,勒索软件从攻击者的C&C服务器请求一个唯一的比特币钱包地址,其中受害者应该转移赎金金额,该服务器包含已经创建的比特币地址的预定义列表。

如果服务器耗尽了唯一的比特币地址,则勒索软件不会继续加密文件并等待攻击者创建并提供新地址。

有趣的是,Intezer的研究人员利用这种机制创建了一个脚本,使得他们可以欺骗攻击者的C&C服务器,为数百名虚拟受害者分配所有可用的比特币地址,从而阻止勒索软件加密新合法受害者的文件。

“由于这些勒索软件背后的作者是从已经生成的钱包的静态池中为每个受害者提供一个比特币钱包,我们可以复制感染以取回所有钱包,直到他们无法控制其他钱包,”Intezer说。

“我们能够收集共计1,091个独特的钱包,用于分发给15个不同活动中的新受害者。”

如果勒索软件获得其独特的比特币钱包,它会生成一个32个字符的随机字符串来创建AES-256密钥,然后使用它以CFB中的AES算法加密存储在目标NAS设备上的所有文件,删除原始文件。

由于加密模块使用数学包生成密钥,Anomali表示研究人员可能为新的勒索软件系列编写解密器,因为该功能并非完全随机。

“恶意软件使用当前时间的种子初始化数学随机页面。由于它使用数学包来生成密钥,因此它不是加密随机的,并且很可能编写解密器,”Anomali研究人员说。

“威胁行为者针对用于文件存储和备份的QNAP NAS设备。这些设备运行防病毒产品并不常见,目前,样本只能通过VirusTotal上的2-3种产品检测到,这使得勒索软件可以使用不受约束地跑。“

研究人员还指出,在加密存储在目标NAS设备上的文件之前,勒索软件还会尝试杀死特定的进程列表,包括apache2,httpd,nginx,MySQL,mysql和PostgreSQL。

提醒一下,用户不要在不知不觉或不必要的情况下,将他们的NAS设备直接连接到Internet,并启用自动更新以使固件保持最新状态。

此外,建议用户首先使用强密码来保护他们的NAS设备,并定期在这些设备上备份存储的信息,以便在发生任何灾难时,可以在不向攻击者支付赎金的情况下恢复重要数据。

参考:

https://www.intezer.com/blog-seizing-15-active-ransomware-campaigns-targeting-linux-file-storage-servers/

https://www.anomali.com/blog/the-ech0raix-ransomware

https://thehackernews.com/2019/07/ransomware-nas-devices.html

其它:

样本

154dea7cace3d58c0ceccb5a3b8d7e0347674a0e76daffa9fa53578c036d9357 (DE)

3d7ebe73319a3435293838296fbb86c2e920fd0ccc9169285cc2c4d7fa3f120d (TW)

95d8d99c935895b665d7da2f3409b88f ( linux_cryptor)

URLs

http://sg3dwqfpnr4sl5hh[.]onion/api/GetAvailKeysByCampId/13

http://sg3dwqfpnr4sl5hh[.]onion/order/1LWqmP4oTjWS3ShfHWm1UjnvaLxfMr2kjm

http://sg3dwqfpnr4sl5hh[.]onion/static/

IP

192.99.206.61:65000

声明:本文来自malwarebenchmark,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。