Пользователи сетевых хранилищ (NAS) компании Qnap сообщают об атаках вымогателя eCh0raix, также известного как QNAPCrypt. Злоумышленники, стоящие за этой малварью, активизировались примерно за неделю до Рождества, и берут под контроль устройства, получая права администратора.
О новой волне атак сообщили пользователи форума Bleeping Computer, владеющие устройствами Qnap и Synology. Владельцы хранилищ регулярно сообщают об атаках вымогателя eCh0raix, но примерно 20 декабря количество жалоб резко возросло. Увеличение интенсивности атак подтверждается и статистикой сервиса ID Ransomware, который зафиксировал, что начало волны пришлось на 19 декабря, и активность злоумышленников снизилась к 26 декабря.
Кроме того, эта кампания выделяется тем, что злоумышленники неправильно задали расширение для записки с требованием выкупа и использовали .TXTT вместо .TXT.
Первоначальный вектор заражения NAS пока неясен. Некоторые пользователи признают, что не защищали свои устройства должным образом (например, открывали доступ к интернету через небезопасное соединение), тогда как другие утверждают, что это уязвимость в Qnap Photo Station позволила злоумышленникам взломать их девайсы.
Но какой бы ни была точка изначального проникновения, после компрометации eCh0raix создает пользователя в группе администраторов, что позволяет малвари зашифровать все файлы в системе.
Bleeping Computer пишет, что требованиями программы-вымогателя варьируются в диапазоне от 0,024 BTC (1200 долларов США) до 0,06 BTC (3000 долларов США). Так как у некоторых жертв не было резервных копий, им приходилось платить злоумышленниками за восстановление файлов.
Издание подчеркивает, что существует бесплатный дешифратор для файлов, заблокированных с помощью более старой версии ech0raix (до 17 июля 2019 года). Однако бесплатного решения для расшифровки данных, заблокированных последними версиями малвари (версии 1.0.5 и 1.0.6), к сожалению, не существует.