ИБ-специалист и основатель Bleeping Computer, Лоренс Абрамс (Lawrence Abrams) предупредил о появлении не совсем обычного вымогателя: атакующие запускают вредоноса NamPoHyu Virus или MegaLocker Virus локально, и тот шифрует данные на удаленных серверах Samba.
В отчие от большинства шифровальщиков, которые портят данные на самой зараженной машине, данная малварь не трогает инфицированную систему, но ищет доступные серверы Samba, брутфорсом подбирает учетные данные, а затем удаленно шифрует файлы на них.
Впервые этот вымогатель был замечен в марте 2019 года. Тогда пользователи массово жаловались, что их NAS атаковал шифровальщик MegaLocker Virus, добавлявший расширение .crypted к пострадавшим файлам. За расшифровку данных вымогатели требовали 250 долларов от простых пользователей и 1000 долларов от компаний. Причем жертвами предлагалось связаться с операторами шифровальщика по электронной почте и доказать, что они являются частными лицами, например, прислать личные фотографии со дня рождения или отдыха.
Тогда предполагалось, что заражения происходили через FTP, однако теперь Лоренс Абрамс пишет, что дело, скорее всего, было в Samba. Так, согласно статистике Shodan, в сети можно обнаружить более 500 000 свободно доступных Samba-серверов.
Согласно сообщениям пострадавших, в апреле 2019 года малварь сменила название на NamPoHyu Virus и начала добавлять к зашифрованным файлам расширение .NamPoHyu. «Платежные инструкции» для жертв в целом остались прежними, разве что теперь злоумышленники предлагают связываться с ними не по почте, а через Tor-сайт. Впрочем, на сайте пострадавших все равно просят написать авторам малвари письмо, приложив к нему ID машины из сообщения с требованием выкупа.
Лоренс Абрамс отмечает, что пострадавшую от этой малвари информацию можно спасти без выплаты выкупа и просит пользователей обращаться за помощью в специальную тему на официальных форумах Bleeping Computer.