【预警】新型勒索病毒来袭,eCh0raix紧盯NAS设备
病毒预警
近日,研究人员发现了新型勒索病毒eCh0raix,该勒索病毒针对QNAP网络附属存储(NAS)设备进行攻击,其攻击行为类似于Ryuk和LockerGoga勒索病毒,亚信安全将其命名为Ransom.Linux.ECHORAIX.A。
NAS设备是网络连接的存储设备,主要用于文件存储和备份系统。由于其成本低,效率高并且可扩展,受到用户欢迎,其市场占有率高达80% 。受本次勒索病毒影响的NAS设备包括QNAP TS-251、QNAP TS-451、QNAP TS-459 Pro II和 QNAP TS 253B。
病毒技术细节分析
eCh0raix勒索病毒使用Go/Golang语言编写,该病毒通过检查语言来确定被感染的NAS设备所处的位置,如果其位于俄罗斯、乌克兰和白俄罗斯等国家,其会终止自身。其还会结束系统中存在的如下进程或者服务:
· apache2
· httpd
· nginx
· mysqld
· mysql
· php-fpm
· php5-fpm
· postgresq
该病毒会加密系统中的文档、文本、PDF、压缩、数据库以及多媒体等多种文件,其加密的文件扩展名列表:
该病毒避免加密文件名中带有如下字符串的文件或者文件夹中的文件:
· /proc
· /boot/
· /sys/
· /run/
· /dev/
· /etc/
· /home/httpd
· /mnt/ext/opt
· .system/thumbnail
· .system/opt
· .config
· .qpkg
病毒加密后的文件扩展名为.encrypt,加密完成后,该病毒索要0.05-0.06比特币的赎金,受害者需要通过Tor网站支付赎金。
目前对于eCh0raix勒索病毒的感染方式还不确定,但是有研究人员发现,受感染的NAS设备没有安装最新的补丁程序,并且使用的是弱口令。据此研究人员推测,此勒索病毒可能是利用漏洞或者弱口令攻击传播。
鸿萌数据安全中心教你如何防范:
· 更改默认凭据或添加用于访问NAS设备的身份验证和授权机制;
· 及时更新NAS设备的固件;
· 确保其他系统或设备(尤其是连接到NAS设备或内置于NAS设备的路由器)保持更新;
· 实施最小权限原则,仅在必要时启用功能或组件(例如,在路由器上打开端口)或限制使用VPN才可以通过Internet访问NAS设备;
· 启用NAS设备的内置安全功能,例如,QNAP的网络访问保护有助于阻止暴力攻击或类似的入侵;
· 请注意备份重要文档,备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。
鸿萌数据安全中心,为您的数据保驾护航!!!
联系我们 了解更多