QNAP NAS 系統再遭勒索軟體 eCh0raix 攻擊

QNAP 的網路附加儲存 (NAS) 裝置用戶通報遭到 eCh0raix 勒索軟體攻擊。

QNAP 和群暉科技 (Synology NAS) 系統的用戶以前就常遭 eCh0raix 襲擊，不過這隻勒索軟體在聖誕節前一周，約 12 月 20 日增強攻擊，以管理員權限接管了受害者的 QNAP 系統。

勒索軟體觀測網站 ID ransomware service 在 12 月 19 到 12 月 26 日當周接到上傳感染樣本的件數大增。

這波攻擊是怎麼發生的還不確定，有人表示是未做好連網裝置防護（如直接曝露於公開網路），有人則宣稱是 QNAP Photo Station 爆漏洞讓駭客乘虛而入。

在入侵用戶系統後，eCh0raix 會在管理員群組建立一個用戶帳號，讓它可加密 NAS 系統上所有檔案。

除了攻擊次數增加，這波攻擊另一個特色是駭客的勒索訊息文字檔，是存成.TXTT 副檔名的檔案。

雖然這不妨礙受害者讀取勒贖指令，但部份用戶卻無法以特定程式來開啟檔案（如小作家 Notepad）。

過去 eCh0raix 多半勒索 0.24 到 0.6 個比特幣（約美金 1,200 到 3,000 美元）。沒有備份的受害者只好付錢以贖回檔案。

舊版（2019 年 7 月 17 日之前）eCh0raix 是已經有免費解密軟體，但碰到新版本 1.0.5 及 1.0.6 版就沒效了。

eCh0raix 自 2019 年 6 月出現後就一直侵擾 QNAP 用戶，攻擊使用弱密碼的裝置，使它又被稱為 QNAPCrypt。QNAP 用戶多次發出安全公告，並建議用戶移除不明的帳號、應用程式、關閉預設連向開放網路的傳輸埠，以關閉自動路徑轉換 (auto router)、變更預設密碼以及安裝防火牆、防毒軟體等。

來源：Bleeping Computer