新型勒索病毒来袭,eCh0raix紧盯NAS设备

病毒预警

近日,研究人员发现了新型勒索病毒eCh0raix,该勒索病毒针对QNAP网络附属存储(NAS)设备进行攻击,其攻击行为类似于Ryuk和LockerGoga勒索病毒,亚信安全将其命名为Ransom.Linux.ECHORAIX.A。

NAS设备是网络连接的存储设备,主要用于文件存储和备份系统。由于其成本低,效率高并且可扩展,受到用户欢迎,其市场占有率高达80% 。受本次勒索病毒影响的NAS设备包括QNAP TS-251、QNAP TS-451、QNAP TS-459 Pro II和 QNAP TS 253B。

病毒技术细节分析

eCh0raix勒索病毒使用Go/Golang语言编写,该病毒通过检查语言来确定被感染的NAS设备所处的位置,如果其位于俄罗斯、乌克兰和白俄罗斯等国家,其会终止自身。其还会结束系统中存在的如下进程或者服务:

• apache2

• httpd

• nginx

• mysqld

• mysql

• php-fpm

• php5-fpm

• postgresq

• /proc

• /boot/

• /sys/

• /run/

• /dev/

• /etc/

• /home/httpd

• /mnt/ext/opt

• .system/thumbnail

• .system/opt

• .config

• .qpkg 病毒加密后的文件扩展名为.encrypt,加密完成后,该病毒索要0.05-0.06比特币的赎金,受害者需要通过Tor网站支付赎金。

病毒加密后的文件扩展名为.encrypt,加密完成后,该病毒索要0.05-0.06比特币的赎金,受害者需要通过Tor网站支付赎金。

目前对于eCh0raix勒索病毒的感染方式还不确定,但是有研究人员发现,受感染的NAS设备没有安装最新的补丁程序,并且使用的是弱口令。据此研究人员推测,此勒索病毒可能是利用漏洞或者弱口令攻击传播。

鸿萌数据安全中心教你如何防范:

• 更改默认凭据或添加用于访问NAS设备的身份验证和授权机制;

• 及时更新NAS设备的固件;

• 确保其他系统或设备(尤其是连接到NAS设备或内置于NAS设备的路由器)保持更新;

• 实施最小权限原则,仅在必要时启用功能或组件(例如,在路由器上打开端口)或限制使用VPN才可以通过Internet访问NAS设备;

• 启用NAS设备的内置安全功能,例如,QNAP的网络访问保护有助于阻止暴力攻击或类似的入侵;

• 请注意备份重要文档,备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。

鸿萌数据安全中心,为您的数据保驾护航!!!

我来评几句
登录后评论

已发表评论数()

相关站点

热门文章