https://www.iwanrj.com
Iwan RJ Official

QNAP NAS Target Baru Ransomware ‘eCh0raix’

QNAP NAS

Baru – Baru ini para peneliti dari Anomali menemukan jenis ransomware baru yang dijuluki ‘eCh0raix’ yang menargetkan perangkat QNAP Network Attached Storage (NAS) yang digunakan untuk cadangan dan penyimpanan file.

Malware Agent Smith menginfeksi hampir 25 juta perangkat Android
Gambar: Ilustrasi dari Infeksi Perangkat berbahaya, virus, ransomware,malware, trojan, dan lainnya/

Apa itu eCh0raix?
Ransomware ini ditulis dalam bahasa Go dan digunakan untuk menginfeksi dan mengenkripsi dokumen pada perangkat QNAP NAS.
Perangkat QNAP NAP dialihfungsikan dengan memaksa data yang lemah dan mengeksploitasi kelemahan yang diketahui.
Perangkat yang terkena dampak termasuk QNAP TS-251, QNAP TS-451, QNAP TS-459 Pro II, dan QNAP TS 253B.

Para peneliti menganalisis sampel eCh0raix dan mencatat bahwa itu menggunakan kunci publik hardcoded, dengan kunci unik untuk setiap target. Server C&C ransomware terletak di Tor, namun, server itu tidak mengandung klien Tor yang terhubung. Sebagai gantinya, ransomware menggunakan proxy SOCKS5 yang menghubungkan untuk berkomunikasi dengan server C&C. Operator ransomware juga membuat API yang dapat digunakan untuk menanyakan berbagai informasi.

Bagaimana cara kerja ransomware?
Setelah perangkat QNAP NAS dikompromikan dan eCh0raix dieksekusi, ransomware akan melakukan pemeriksaan bahasa untuk memastikan bahwa perangkat tersebut berasal dari negara-negara CIS tertentu.
Jika perangkat ini dari Belarus, Ukraina, atau Rusia, itu tidak akan mengenkripsi file apa pun.

Ransomware kemudian akan mencari dan mematikan proses seperti apache2, httpd, nginx, mysqld, mysqd, dan php-fpm, menggunakan layanan stop% s atau systemctl stop% s perintah.
eCh0raix dikenal untuk mengenkripsi dokumen Microsoft Office dan OpenOffice, PDF, file teks, arsip, database, foto, musik, video, dan file gambar menggunakan AES dalam kunci rahasia Mode Umpan Balik Kode (CFB) yang dibuat dari kunci AES-256 yang dibuat secara lokal .

Kunci AES ini kemudian dienkripsi dengan kunci RSA publik yang diunduh atau tertanam kemudian disimpan dalam format base64 yang digunakan sebagai catatan tebusan.
Setelah dienkripsi, ransomware akan menambahkan ekstensi .encrypt ke nama file yang dienkripsi.

QNAP NAS

Saat memilih file untuk dienkripsi, ransomware melewatkan file di mana path absolut untuk file berisi salah satu dari string berikut: ‘/ proc’, ‘/ boot /’, ‘/ sys /’, ‘/ run /’, ‘/ dev / ‘,’ / etc / ‘,’ / home / httpd ‘,’ / mnt / ext / opt ‘,’ .system / thumbnail ‘,’ .system / opt ‘,’ .config ‘, dan’ .qpkg ‘ .

Oleh karena itu, pada dasarnya melompati semua file sistem dan berfokus pada file pengguna.

Apa yang tertulis dalam catatan tebusan?
Ransomware membuat catatan tebusan bernama ‘README_FOR_DECRYPT.txt’. Catatan tebusan mencakup tautan ke situs Tor, alamat bitcoin terkait, dan kunci enkripsi pribadi pengguna yang dienkripsi. Setelah pengguna pergi ke situs pembayaran Tor, mereka akan ditunjukkan alamat bitcoin dan jumlah tebusan yang harus dibayar. Situs Tor akan memberi tahu pengguna setelah menerima pembayaran, setelah itu pengguna dapat mengunduh decryptor.

Inilah isi Tebusan dari ReadmE_For_decrypt.txt

“Semua data Anda telah dikunci (crypted).

Cara membuka kunci (mendekripsi) instruksi yang terdapat di situs web TOR ini: http [:] // sg3dwqfpnr4sl5hh [.] onion / pesanan / [alamat Bitcoin]

Gunakan browser TOR untuk mengakses situs web .onion.
https [:] // duckduckgo [.] com / html? q = untuk + browser + cara + untuk

JANGAN hapus file ini dan JANGAN hapus baris terakhir di file ini!

Jadi, anda sebagai korban diarahkan ke TOR dan mengakases situs yang dimaksudkan untuk dapat mengunduh decryptor sebagai pemulih data yang sudah dienkripsi ransoware tersebut. Itu juga minta tebusan dulu. pusing…..!!!

🔥6
hosting murah meriah 2019 iwanrj.com

Leave A Reply

Your email address will not be published.