病毒预警
近日,研究人员发现了新型勒索病毒eCh0raix,该勒索病毒针对QNAP网络附属存储(NAS)设备进行攻击,其攻击行为类似于Ryuk和LockerGoga勒索病毒,亚信安全将其命名为Ransom.Linux.ECHORAIX.A。
NAS设备是网络连接的存储设备,主要用于文件存储和备份系统。由于其成本低,效率高并且可扩展,受到用户欢迎,其市场占有率高达80% 。受本次勒索病毒影响的NAS设备包括QNAP TS-251、QNAP TS-451、QNAP TS-459 Pro II和 QNAP TS 253B。
病毒技术细节分析
eCh0raix勒索病毒使用Go/Golang语言编写,该病毒通过检查语言来确定被感染的NAS设备所处的位置,如果其位于俄罗斯、乌克兰和白俄罗斯等国家,其会终止自身。其还会结束系统中存在的如下进程或者服务:
• apache2
• httpd
• nginx
• mysqld
• mysql
• php-fpm
• php5-fpm
• postgresq
• /proc
• /boot/
• /sys/
• /run/
• /dev/
• /etc/
• /home/httpd
• /mnt/ext/opt
• .system/thumbnail
• .system/opt
• .config
• .qpkg 病毒加密后的文件扩展名为.encrypt,加密完成后,该病毒索要0.05-0.06比特币的赎金,受害者需要通过Tor网站支付赎金。
病毒加密后的文件扩展名为.encrypt,加密完成后,该病毒索要0.05-0.06比特币的赎金,受害者需要通过Tor网站支付赎金。
目前对于eCh0raix勒索病毒的感染方式还不确定,但是有研究人员发现,受感染的NAS设备没有安装最新的补丁程序,并且使用的是弱口令。据此研究人员推测,此勒索病毒可能是利用漏洞或者弱口令攻击传播。
鸿萌数据安全中心教你如何防范:
• 更改默认凭据或添加用于访问NAS设备的身份验证和授权机制;
• 及时更新NAS设备的固件;
• 确保其他系统或设备(尤其是连接到NAS设备或内置于NAS设备的路由器)保持更新;
• 实施最小权限原则,仅在必要时启用功能或组件(例如,在路由器上打开端口)或限制使用VPN才可以通过Internet访问NAS设备;
• 启用NAS设备的内置安全功能,例如,QNAP的网络访问保护有助于阻止暴力攻击或类似的入侵;
• 请注意备份重要文档,备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。
鸿萌数据安全中心,为您的数据保驾护航!!!
有疑问加站长微信联系(非本文作者)
