NAS-okon pusztítja a fájlokat egy új zsaroló program
Egy érdekes és egyben nagyon veszélyes zsaroló program ütötte fel a fejét. A károkozó QNAP hálózati adattárolókon lévő fájlokat képes használhatatlanná tenni.A zsaroló programok továbbra is nagy számban terjednek, és legtöbbször a Windows alapú számítógépeket fertőzik. Azokon titkosítják a felhasználók értékes állományait, majd váltságdíjat követelnek a helyreállításhoz szükséges információkért cserébe. A meglehetősen fura nevű, eCh0raix zsaroló program azonban más utat választott, de ezzel is komoly károkat képes okozni.
Az eCh0raix - amely egyébként a forráskódjában lévő egyik kifejezésről kapta a nevét - a hálózat feltérképezése után próbálkozásos (brute force) módszerrel kezdi ostromolni a hálózatban esetlegesen meglévő QNAP adattárolókat (NAS-okat). Eddig egyebek mellett QNAP TS-251, QNAP TS-451, QNAP TS-459 Pro II és QNAP TS 253B típusú készülékeken is fertőzött már. Elsősorban a gyenge jelszavakkal védett adattárolókat tudja térdre kényszeríteni.
Mit művel a NAS-on?
Az eCh0raix először kapcsolódik egy vezérlőszerverhez. Annak érdekében, hogy megnehezítse a felderítését Tor hálózat mellett proxy-t is használ. A kapcsolódást követően pedig különféle fájlokat tölt le, amelyek egyrészt tartalmazzák a zsarolók üzenetét, másrészt egy publikus RSA-kulcsot. (A kártevő - sok hasonló zsaroló programtól eltérően - nem tölt fel rendszerinformációkat, nem szivárogtat adatokat.)
A kártékony program a szükséges fájlok, információk beszerzését követően leállítja az alábbi folyamatokat:
apache2
httpd
nginx
mysqld
mysqd
php-fpm
Ettől kezdve pedig nincs más hátra, mint az állományok kompromittálása, amit egy kiterjesztéslista alapján végez. Nem kíméli a dokumentumokat, a multimédiás állományokat, az adatbázisokat és a forráskódokat sem. Egyedül az alábbi mappákban lévő fájlokkal tesz kivételt:
/proc
/boot/
/sys/
/run/
/dev/
/etc/
/home/httpd
/mnt/ext/opt
.system/thumbnail
.system/opt
.config
.qpkg.
Az eCh0raix minden olyan mappába, amelyben legalább egy fájlt titkosított, elhelyez egy README_FOR_DECRYPT.txt nevű szöveges állományt, amely egy linket tartalmaz a zsarolók oldalára. A váltságdíj mértéke változhat, és bitcoinban követelik azt az elkövetők.
Biztonsági szakemberek szerint a váltságdíjat ezúttal sem célszerű kifizetni. Már csak azért sem, mert a károkozót vizsgáló Anomali Threat Research Team szakemberei szerint mutatkozik némi esély arra, hogy dekódolhatóvá válhatnak a tönkretett állományok. Jelenleg a dekódoló szoftver még nincs kész, de a kutatók ígérete szerint, ha sikerül azt elkészíteni, akkor ingyenesen elérhetővé teszik. Addig pedig esetlegesen meglévő, elkülönített biztonsági mentések, illetve a QNAP egyes funkciói (például a blokkalapú pillanatképek) segíthetnek a helyreállításban.
Forrás: Anomali Threat Research Team
Az eddigi vizsgálatok azt mutatják, hogy a eCh0raix detektálásával meggyűlik a bajuk a víruskeresőknek. Az elemzések során a VirusTotalon 55 víruskeresőből mindössze 3 volt képes felismerni a szerzeményt (nyilván azóta ez az arány javult.)
A védekezés szempontjából nagyon fontos, hogy a hálózati adattárolókat erős jelszó védje.
-
A QNAP számos sebezhetőséget szüntetett meg a NAS adattárolói kapcsán.
-
A Microsoft fejlesztői három biztonsági résről számoltak be az Edge kapcsán.
-
A TinyMCE kapcsán XSS-hibákra derült fény.
-
A GLPI fejlesztői két veszélyes biztonsági résről számoltak be.
-
Öt biztonsági rést foltoztak be a GitLab fejlesztői.
-
A FreeRDP-hez öt patch vált elérhetővé.
-
A Dell biztonsági frissítést adott ki a Custom VMware ESXi-hez.
-
A Google kritikus veszélyességű sebezhetőségeket orvosolt a Chrome webböngésző kapcsán.
-
Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.
-
A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.