Владельцы NAS Qnap снова страдают от атак вредоноса eCh0raix

Пользователи сетевых хранилищ (NAS) компании Qnap сообщают об атаках вымогателя eCh0raix, также известного как QNAPCrypt. Злоумышленники, стоящие за этой малварью, активизировались примерно за неделю до Рождества, и берут под контроль устройства, получая права администратора, пишет Хакер.

О новой волне атак сообщили пользователи форума Bleeping Computer, владеющие устройствами Qnap и Synology. Владельцы хранилищ регулярно сообщают об атаках вымогателя eCh0raix, но примерно 20 декабря количество жалоб резко возросло. Увеличение интенсивности атак подтверждается и статистикой сервиса ID Ransomware, который зафиксировал, что начало волны пришлось на 19 декабря, и активность злоумышленников снизилась к 26 декабря.

Кроме того, эта кампания выделяется тем, что злоумышленники неправильно задали расширение для записки с требованием выкупа и использовали .TXTT вместо .TXT.

Первоначальный вектор заражения NAS пока неясен. Некоторые пользователи признают, что не защищали свои устройства должным образом (например, открывали доступ к интернету через небезопасное соединение), тогда как другие утверждают, что это уязвимость в Qnap Photo Station позволила злоумышленникам взломать их девайсы.

Но какой бы ни была точка изначального проникновения, после компрометации eCh0raix создает пользователя в группе администраторов, что позволяет малвари зашифровать все файлы в системе.

Bleeping Computer пишет, что требованиями программы-вымогателя варьируются в диапазоне от 0,024 BTC (1200 долларов США) до 0,06 BTC (3000 долларов США). Так как у некоторых жертв не было резервных копий, им приходилось платить злоумышленниками за восстановление файлов.

Издание подчеркивает, что существует бесплатный дешифратор для файлов, заблокированных с помощью более старой версии ech0raix  (до 17 июля 2019 года). Однако бесплатного решения для расшифровки данных, заблокированных последними версиями малвари (версии 1.0.5 и 1.0.6), к сожалению, не существует.