QNAP NAS系統再遭勒索軟體eCh0raix攻擊
QNAP的網路附加儲存(NAS)裝置用戶通報遭到eCh0raix勒索軟體攻擊。
QNAP和群暉科技(Synology NAS)系統的用戶以前就常遭eCh0raix襲擊,不過這隻勒索軟體在聖誕節前一周,約12月20日增強攻擊,以管理員權限接管了受害者的QNAP系統。
勒索軟體觀測網站ID ransomware service在12月19到12月26日當周接到上傳感染樣本的件數大增。
這波攻擊是怎麼發生的還不確定,有人表示是未做好連網裝置防護(如直接曝露於公開網路),有人則宣稱是QNAP Photo Station爆漏洞讓駭客乘虛而入。
在入侵用戶系統後,eCh0raix會在管理員群組建立一個用戶帳號,讓它可加密NAS系統上所有檔案。
除了攻擊次數增加,這波攻擊另一個特色是駭客的勒索訊息文字檔,是存成.TXTT副檔名的檔案。
雖然這不妨礙受害者讀取勒贖指令,但部份用戶卻無法以特定程式來開啟檔案(如小作家Notepad)。
過去eCh0raix多半勒索0.24到0.6個比特幣(約美金1,200到3,000美元)。沒有備份的受害者只好付錢以贖回檔案。
舊版(2019年7月17日之前)eCh0raix是已經有免費解密軟體,但碰到新版本1.0.5及1.0.6版就沒效了。
eCh0raix自2019年6月出現後就一直侵擾QNAP用戶,攻擊使用弱密碼的裝置,使它又被稱為QNAPCrypt。QNAP用戶多次發出安全公告,並建議用戶移除不明的帳號、應用程式、關閉預設連向開放網路的傳輸埠,以關閉自動路徑轉換(auto router)、變更預設密碼以及安裝防火牆、防毒軟體等。