【预警】新型勒索病毒来袭,eCh0raix紧盯NAS设备

鸿萌数据恢复 · · 3569 次点击 · · 开始浏览    
这是一个创建于 的文章,其中的信息可能已经有所发展或是发生改变。

病毒预警

 近日,研究人员发现了新型勒索病毒eCh0raix,该勒索病毒针对QNAP网络附属存储(NAS)设备进行攻击,其攻击行为类似于Ryuk和LockerGoga勒索病毒,亚信安全将其命名为Ransom.Linux.ECHORAIX.A。

NAS设备是网络连接的存储设备,主要用于文件存储和备份系统。由于其成本低,效率高并且可扩展,受到用户欢迎,其市场占有率高达80% 。受本次勒索病毒影响的NAS设备包括QNAP TS-251、QNAP TS-451、QNAP TS-459 Pro II和 QNAP TS 253B。

病毒技术细节分析

eCh0raix勒索病毒使用Go/Golang语言编写,该病毒通过检查语言来确定被感染的NAS设备所处的位置,如果其位于俄罗斯、乌克兰和白俄罗斯等国家,其会终止自身。其还会结束系统中存在的如下进程或者服务:

 • apache2

• httpd

• nginx

• mysqld

• mysql

• php-fpm

• php5-fpm

• postgresq

 • /proc

 • /boot/

• /sys/

 • /run/

• /dev/

• /etc/

• /home/httpd

• /mnt/ext/opt

• .system/thumbnail

 • .system/opt

• .config

• .qpkg 病毒加密后的文件扩展名为.encrypt,加密完成后,该病毒索要0.05-0.06比特币的赎金,受害者需要通过Tor网站支付赎金。

病毒加密后的文件扩展名为.encrypt,加密完成后,该病毒索要0.05-0.06比特币的赎金,受害者需要通过Tor网站支付赎金。

目前对于eCh0raix勒索病毒的感染方式还不确定,但是有研究人员发现,受感染的NAS设备没有安装最新的补丁程序,并且使用的是弱口令。据此研究人员推测,此勒索病毒可能是利用漏洞或者弱口令攻击传播。

鸿萌数据安全中心教你如何防范:

 • 更改默认凭据或添加用于访问NAS设备的身份验证和授权机制;

 • 及时更新NAS设备的固件;

• 确保其他系统或设备(尤其是连接到NAS设备或内置于NAS设备的路由器)保持更新;

• 实施最小权限原则,仅在必要时启用功能或组件(例如,在路由器上打开端口)或限制使用VPN才可以通过Internet访问NAS设备;

• 启用NAS设备的内置安全功能,例如,QNAP的网络访问保护有助于阻止暴力攻击或类似的入侵;

• 请注意备份重要文档,备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。


 鸿萌数据安全中心,为您的数据保驾护航!!!


有疑问加站长微信联系(非本文作者)

本文来自:简书

感谢作者:鸿萌数据恢复

查看原文:【预警】新型勒索病毒来袭,eCh0raix紧盯NAS设备

入群交流(和以上内容无关):加入Go大咖交流群,或添加微信:liuxiaoyan-s 备注:入群;或加QQ群:692541889

3569 次点击  
加入收藏 微博
添加一条新回复 (您需要 登录 后才能回复 没有账号 ?)
  • 请尽量让自己的回复能够对别人有帮助
  • 支持 Markdown 格式, **粗体**、~~删除线~~、`单行代码`
  • 支持 @ 本站用户;支持表情(输入 : 提示),见 Emoji cheat sheet
  • 图片支持拖拽、截图粘贴等方式上传