有NAS的注意啦,一种针对基于Linux(NAS)设备的新勒索软件
一个新的勒索软件系列被发现针对基于Linux的网络附加存储(NAS)设备,这些设备由中国台湾的QNAP Systems制造,并且在支付赎金之前将用户的重要数据作为人质。
NAS设备是连接到网络或通过Internet的专用文件存储单元,适用于家庭和小型企业,允许用户使用多台计算机存储和共享数据和备份。新的勒索软件系列由两家独立的安全公司Intezer和Anomali独立发现,它们通过强制弱SSH凭证或利用已知漏洞来攻击保护不良或易受攻击的QNAP NAS服务器。被Intezer称为“ QNAPCrypt ”和“ eCh0raix“通过Anomali,新的勒索软件是用Go编程语言编写的,并使用AES加密对目标扩展加密文件,并为每个文件附加.encrypt扩展。 但是,如果受损的NAS设备位于白俄罗斯,乌克兰或俄罗斯,则勒索软件终止文件加密过程并退出而不会对文件造成任何损害。
执行时,文件加密勒索软件首先连接到其远程命令和控制服务器,受Tor网络保护,使用SOCKS5 Tor代理向攻击者通知新的受害者。“根据分析,很明显恶意软件作者已经建立了代理,以便在不包含恶意软件中的Tor功能的情况下为Tor网络提供对恶意软件的访问,”Anomali研究人员表示。在加密文件之前,勒索软件从攻击者的C&C服务器请求一个唯一的比特币钱包地址,其中受害者应该转移赎金金额,该服务器包含已经创建的比特币地址的预定义列表。
如果服务器耗尽了唯一的比特币地址,则勒索软件不会继续加密文件并等待攻击者创建并提供新地址。有趣的是,Intezer的研究人员利用这种机制创建了一个脚本,允许他们欺骗攻击者的C&C服务器,为数百名虚拟受害者分配所有可用的比特币地址,从而阻止勒索软件加密新合法受害者的文件。“由于这些勒索软件背后的作者是从已经生成的钱包的静态池中为每个受害者提供一个比特币钱包,我们可以复制感染包以取回所有钱包,直到他们无法控制其他钱包,”Intezer说。“我们能够收集共计1,091个独特的钱包,用于分发给15个不同活动中的新受害者。”如果勒索软件获得其独特的比特币钱包,它会生成一个32个字符的随机字符串来创建AES-256密钥,然后使用它以加密反馈模式(CFB)中的AES算法加密存储在目标NAS设备上的所有文件,删除原始文件。
1、搭建好防火墙
2、使用高强度密码
3、取消不必要的服务
4、限制系统用户的登录
5、保持最新的系统核心或者固件
友情提醒:市面上大部分的NAS都是基于Linux的哦,大家快回去做好安全防护吧~