Anomali Threat Research сообщает о новом шифровальщике eCh0raix, написанном на Go. Плохие новости состоят в том, что противоядия от этого вируса пока нет, и антивирус его не видит.
Вредонос атакует дисковые накопители серии QNAP NAS и шифрует файлы жертв. Компрометация устройств в основном осуществляется за счет брутфорса слабых учетных данных и использования известных уязвимостей. По данным BleepingComputer, под ударом модели QNAP TS-251, QNAP TS-451, QNAP TS-459 Pro II и QNAP TS 253B.
Первым делом, проникнув на уязвимое устройство, eCh0raix сначала осуществляет проверку языка, чтобы определить, не относится ли устройство к определенным странам СНГ (Беларуси, Украине или России) . Для девайсов из этих стран вымогатель не будет шифровать файлы (эта особенность может как свидетельствовать о российском происхождении авторов вируса – и их патриотизме – так и о чьем-то желании повесить всех киберсобак на русских).
Если языковая проверка пройдена и атака продолжается, малварь ищет и ликвидирует следующие процессы с помощью команд service stop %s или systemctl stop %s:
apache2
httpd
nginx
mysqld
mysqd
php-fpm
Затем вымогатель шифрует документы Microsoft Office и OpenOffice, PDF-файлы, текстовые файлы, архивы, базы данных, фотографии, музыку, видео и файлы изображений. После этого злоумышленники требуют у пострадавшего выкуп в размере от 0,05-0,06 BTC (около 40 тысяч рублей на 12.07.2019) или более.
Anomali Threat Research отмечают, что на большинстве устройств QNAP NAS нет активного решения для защиты от вредоносных программ, что позволяет eCh0raix свободно шифровать данные. Еще более плохие новости: даже если на устройстве присутствует антивирусный продукт, малварь вряд ли будет обнаружена: по данным VirusTotal, пока только 3 из 55 защитных продуктов вообще способны заметить шифровальщика.
В настоящее время расшифровщика для eCh0raix не существует, но эксперты Anomali считают, что его не так уж трудно создать. Дело в том, что eCh0raix использует математический пакет для генерации секретного ключа, а тот не является криптографически случайным. Так что если вы вдруг стали жертвой шифровальщика, не торопитесь трясти копилку, возможно, спасение близко.
Любопытный факт: одновременно с Anomali тот же вредонос обнаружили и изучили специалисты компании Intezer, присвоив ему название QNAPCrypt. Эти эксперты, однако, заметили еще одну деталь – что каждая жертва шифровальщика получала уникальный адрес биткоин-кошельшка для отправки выкупа – и провернули в связи с этим весьма остроумную кампанию. Оказалось, что QNAPCrypt шифрует устройства лишь после того, как управляющий сервер выделил им адрес кошелька и открытый ключ RSA. Список таких кошельков был создан заранее и статичен, а инфраструктура злоумышленников – что курьезно – не выполняла никакой аутентификации, когда к ней подключаются новые устройства, сообщая о своем заражении. Дело оставалось за малым, и эксперты организовали DoS-атаку, имитировав заражение 1100 устройств и положив инфраструктуру шифровальщика. В настоящий момент, к сожалению, злоумышленники уже обновили код вируса, и эта лазейка закрыта, но какое-то количество реальных компьютеров Intezer, вероятно, спасли.
Читайте также на АКБ про другие резонансные киберэпидемии 2019 года:
Бесфайловый троян Astaroth атакует компьютер из его же памяти
Новый ботнет атакует 1,5 млн систем через удаленный рабочий стол Windows
Шифровальщик GandCrab атакует из каждой щели: к счастью, есть панацея
Wannaбудущее: новое поколение вирусов шифрует, шпионит и крадет деньги одновременно
Новый трехголовый зловред Plurox распространяется через EternalBlue
