QNAP NAS系統再遭勒索軟體eCh0raix攻擊

QNAP的網路附加儲存(NAS)裝置用戶通報遭到eCh0raix勒索軟體攻擊。

QNAP和群暉科技(Synology NAS)系統的用戶以前就常遭eCh0raix襲擊，不過這隻勒索軟體在聖誕節前一周，約12月20日增強攻擊，以管理員權限接管了受害者的QNAP系統。

勒索軟體觀測網站ID ransomware service在12月19到12月26日當周接到上傳感染樣本的件數大增。

這波攻擊是怎麼發生的還不確定，有人表示是未做好連網裝置防護（如直接曝露於公開網路），有人則宣稱是QNAP Photo Station爆漏洞讓駭客乘虛而入。

在入侵用戶系統後，eCh0raix會在管理員群組建立一個用戶帳號，讓它可加密NAS系統上所有檔案。

除了攻擊次數增加，這波攻擊另一個特色是駭客的勒索訊息文字檔，是存成.TXTT副檔名的檔案。

雖然這不妨礙受害者讀取勒贖指令，但部份用戶卻無法以特定程式來開啟檔案（如小作家Notepad）。

過去eCh0raix多半勒索0.24到0.6個比特幣（約美金1,200到3,000美元）。沒有備份的受害者只好付錢以贖回檔案。

舊版（2019年7月17日之前）eCh0raix是已經有免費解密軟體，但碰到新版本1.0.5及1.0.6版就沒效了。

eCh0raix自2019年6月出現後就一直侵擾QNAP用戶，攻擊使用弱密碼的裝置，使它又被稱為QNAPCrypt。QNAP用戶多次發出安全公告，並建議用戶移除不明的帳號、應用程式、關閉預設連向開放網路的傳輸埠，以關閉自動路徑轉換(auto router)、變更預設密碼以及安裝防火牆、防毒軟體等。