Вымогатели eCh0raix устроили предпраздничную охоту на NAS QNAP

Пользователи сетевых хранилищ (NAS) QNAP сообщили об участившихся атаках вымогательского ПО eCh0raix, также известного как QNAPCrypt.

eCh0raix регулярно атакует пользователей сетевых хранилищ QNAP и Synology, однако перед католическим Рождеством атаки усилились (число сообщений об атаках стало расти с 20 декабря), пишет BleepingComputer.

Скачок атак подтверждает и сервис ID Ransomware, позволяющий узнавать, какое вымогательское ПО использовалось для шифрования файлов в ходе атаки. Количество заявок на сайте начало расти 19 декабря и уменьшилось к 26 декабря.

Первоначальный вектор заражения на данный момент неизвестен. Одни пользователи признают, что не побеспокоились о надлежащей защите своих сетевых хранилищ (то есть, подключили их к интернету небезопасным образом). По словам других, во всем виновата уязвимость в приложении для упорядочивания фото и видео QNAP Photo Station.

Каким бы ни был вектор атаки, операторы eCh0raix создают на атакуемой системе пользователя в группе администраторов, что позволяет им шифровать все файлы в сетевом хранилище.

Примечательно, что злоумышленники допустили опечатку в расширении записки с требованием выкупа – использовали .TXTT вместо .TXT. Хотя это не мешает открыть записку и прочитать инструкции, у пользователей, которые должны указывать операционной системе, с помощью какой конкретной программы (например, «Блокнота») нужно открыть файл, могут возникнуть трудности.

Сумма требуемого ech0raix выкупа варьируется от 0,024 ($1,2 тыс.) до 0,06 ($3 тыс.) биткойнов. Хотя для файлов, зашифрованных более ранней версией вымогателя (до 17 июля 2019 года), есть бесплатный инструмент для расшифровки, для последних версий (1.0.5 и 1.0.6) декриптора нет.

Атаки с использованием eCh0raix/QNAPCrypt начались в июне 2019 года, и с тех пора вымогатель представляет постоянную угрозу. Ранее в этом году компания QNAP предупреждала пользователей об участившихся атаках eCh0raix на устройства с ненадежными паролями.