NAS-okon pusztítja a fájlokat egy új zsaroló program

​Egy érdekes és egyben nagyon veszélyes zsaroló program ütötte fel a fejét. A károkozó QNAP hálózati adattárolókon lévő fájlokat képes használhatatlanná tenni.
 

A zsaroló programok továbbra is nagy számban terjednek, és legtöbbször a Windows alapú számítógépeket fertőzik. Azokon titkosítják a felhasználók értékes állományait, majd váltságdíjat követelnek a helyreállításhoz szükséges információkért cserébe. A meglehetősen fura nevű, eCh0raix zsaroló program azonban más utat választott, de ezzel is komoly károkat képes okozni.
 
Az eCh0raix - amely egyébként a forráskódjában lévő egyik kifejezésről kapta a nevét - a hálózat feltérképezése után próbálkozásos (brute force) módszerrel kezdi ostromolni a hálózatban esetlegesen meglévő QNAP adattárolókat (NAS-okat). Eddig egyebek mellett QNAP TS-251, QNAP TS-451, QNAP TS-459 Pro II és QNAP TS 253B típusú készülékeken is fertőzött már. Elsősorban a gyenge jelszavakkal védett adattárolókat tudja térdre kényszeríteni.
 
Mit művel a NAS-on?
 
Az eCh0raix először kapcsolódik egy vezérlőszerverhez. Annak érdekében, hogy megnehezítse a felderítését Tor hálózat mellett proxy-t is használ. A kapcsolódást követően pedig különféle fájlokat tölt le, amelyek egyrészt tartalmazzák a zsarolók üzenetét, másrészt egy publikus RSA-kulcsot. (A kártevő - sok hasonló zsaroló programtól eltérően - nem tölt fel rendszerinformációkat, nem szivárogtat adatokat.)
 
A kártékony program a szükséges fájlok, információk beszerzését követően leállítja az alábbi folyamatokat:
apache2
httpd
nginx
mysqld
mysqd
php-fpm
 
Ettől kezdve pedig nincs más hátra, mint az állományok kompromittálása, amit egy kiterjesztéslista alapján végez. Nem kíméli a dokumentumokat, a multimédiás állományokat, az adatbázisokat és a forráskódokat sem. Egyedül az alábbi mappákban lévő fájlokkal tesz kivételt:
/proc
/boot/
/sys/
/run/
/dev/
/etc/
/home/httpd
/mnt/ext/opt
.system/thumbnail
.system/opt
.config
.qpkg.
 
Az eCh0raix minden olyan mappába, amelyben legalább egy fájlt titkosított, elhelyez egy README_FOR_DECRYPT.txt nevű szöveges állományt, amely egy linket tartalmaz a zsarolók oldalára. A váltságdíj mértéke változhat, és bitcoinban követelik azt az elkövetők.
 
Biztonsági szakemberek szerint a váltságdíjat ezúttal sem célszerű kifizetni. Már csak azért sem, mert a károkozót vizsgáló Anomali Threat Research Team szakemberei szerint mutatkozik némi esély arra, hogy dekódolhatóvá válhatnak a tönkretett állományok. Jelenleg a dekódoló szoftver még nincs kész, de a kutatók ígérete szerint, ha sikerül azt elkészíteni, akkor ingyenesen elérhetővé teszik. Addig pedig esetlegesen meglévő, elkülönített biztonsági mentések, illetve a QNAP egyes funkciói (például a blokkalapú pillanatképek) segíthetnek a helyreállításban.  
Az eddigi vizsgálatok azt mutatják, hogy a eCh0raix detektálásával meggyűlik a bajuk a víruskeresőknek. Az elemzések során a VirusTotalon 55 víruskeresőből mindössze 3 volt képes felismerni a szerzeményt (nyilván azóta ez az arány javult.)
 
A védekezés szempontjából nagyon fontos, hogy a hálózati adattárolókat erős jelszó védje.