【安全资讯】QNAP NAS设备遭到ech0raix勒索软件的攻击激增

引言

QNAP 网络附加存储 (NAS) 设备的用户报告了 eCh0raix 勒索软件（也称为 QNAPCrypt）对其系统的攻击，攻击者在圣诞节的一周前加大了攻击力度，目的是以管理员权限控制用户设备。

简况

NAS（网络附加存储）是一种小型云存储设备，深受小型企业、视频工作室以及摄影和视频爱好者的欢迎。该设备允许用户使用多台计算机来存储和共享数据。存储数据的功能注定容易成为黑客攻击的目标。

eCh0raix 是一个著名的针对 QNAP NAS 设备的勒索软件，eCh0raix是用 Go 编程语言编写的，通过 nDay 漏洞和蛮力攻击进行传播。软件运行后，会对存储在NAS设备上的文件进行加密，加密后文件扩展名为.encrypt。加密完成后会自行删除，留下一个名为README_FOR_DECRYPT.txt的文本文件。

攻击激增的日期是从12月19日开始的，并在12月26日消退。目前，仍不清楚最初的感染媒介是什么，一些用户承认他们并没有正确保护设备（例如通过不安全的连接将其暴露给互联网）；其他人声称攻击时由于 QNAP Photo Station 中的一个漏洞导致的。

无论攻击路径是什么，eCh0raix 勒索软件攻击者似乎都会在管理员组中创建了一个用户，这允许他们加密 NAS 系统上的所有文件。

除了攻击次数激增之外，该攻击者还错误地输入了赎金票据的扩展名并使用了“.TXTT”扩展名。

虽然这不会阻止查看文件，但它可能会给某些用户带来问题，他们必须使用操作系统的特定程序（例如记事本）打开文件或将其加载到所述程序中。

在最近的这些攻击中， ech0raix 勒索软件的要求从 0.024（1,200 美元）到 0.06 比特币（3,000 美元）不等。一些用户没有备份选项，不得不向威胁行为者付费以恢复他们的文件。

结语

eCh0raix 要求的勒索金额相对较低。黑客之所以选择低赎金的小企业（工作室和个人）作为攻击目标，可能一方面是因为小企业的安全意识薄弱，另一方面攻击难度低。eCh0raix的攻击始于2019年6月，并在那之后成为一个持续的威胁，用户应遵循QNAP 的建议，以正确方式保护其 NAS 设备及其存储的数据。