Издание BleepingComputer предупреждает: вымогатель Cr1ptT0r атакует NAS компании D-Link (а именно устройства модели D-Link DNS-320), шифрует данные и требует выкуп в размере 1200 долларов в криптовалюте.
Хотя эту модель NAS уже не найти в продаже, согласно официальному сайту, производитель по-прежнему поддерживает DNS-320, хотя наиболее свежая на данный момент прошивка для таких девайсов датирована 2016 годом. Хуже того, согласно данным VirusTotal, Cr1ptT0r обнаруживается далеко не всеми защитными решениями.
Первыми о заражении своих устройств сообщили пользователи форума BleepingComputer. Тогда же стало ясно, что атаки, судя по всему, напрямую связаны с использованием устаревшего ПО. Дело в том, что в старых версиях прошивок для DNS-320 существует как минимум одна RCE-уязвимость, и в прошлом году был опубликован эксплоит для захардкоженного бэкдора в ShareCenter DNS‑320L.
Для шифрования данных на зараженном устройстве малварь использует алгоритм curve25519xsalsa20poly1305, не добавляет какое-либо специфическое расширение к зашифрованным файлам, вместо этого приписывая им маркер «_Cr1ptT0r_». Также вредонос оставляет на устройстве два текстовых файла: _FILES_ENCRYPTED_README.txt и _cr1ptt0r_support.txt, в которых пострадавшему подробно объясняют, как связаться со злоумышленниками, оплатить выкуп и спасти зашифрованную информацию. Чтобы доказать серьезность своих слов и намерений, атакующие предлагают расшифровку одного файла бесплатно.
Ключи для расшифровки данных продаются на торговой площадке OpenBazaar по цене 0,30672022 биткоина (порядка 1200 долларов США по текущему курсу). Также злоумышленники предлагают другой «тариф»: можно расшифровать не всю информацию, а только произвольные файлы, и это будет стоить 19,99 долларов за один файл.
Журналисты BleepingComputer отмечают, что по той же цене операторы вымогателя продают на OpenBazaar ключи для другого шифровальщика, Synolocker, который атакует NAS производства Synology и наделал немало шума еще в 2014 году. Причем оригинальные создатели Synolocker свернули свои операции в том же 2014 году и продали оставшиеся ключи (около 5500) третьей стороне за 200 BTC (тогда около 100 000 долларов США).