新一波 ech0raix 勒索软件攻击以 QNAP NAS 设备为目标

ech0raix 勒索软件背后的威胁行为者的目标是 NAP 网络附加存储 (NAS) 设备。用户在圣诞节前几天报告了他们的设备遭到多次入侵。

据 BleepingComputer报道，自 12 月 20 日以来，论坛用户报告攻击加剧，针对这一特定威胁提交给ID 勒索软件服务的分析从 12 月 19 日开始增加，并在 12 月 20 日达到峰值。

目前，尚不清楚攻击者如何入侵 QNAP 设备，一些用户声称攻击者利用 Photo Station 软件中的漏洞来入侵它们。

攻击者首先在管理员组中创建一个用户，然后用它来加密 NAS 的内容。

专家注意到，该活动背后的威胁行为者使用“.TXTT”扩展名错误地输入了赎金票据的扩展名。

ech0raix 勒索软件运营商要求赎金从 0.024（1,200 美元）提高到 0.06 比特币（3,000 美元）。

“重要的是要注意，有一个免费的解密器可以用于使用较旧版本（2019 年 7 月 17 日之前）的 eCh0raix 勒索软件锁定的文件。但是，没有免费的解决方案可以解密由恶意软件的最新变体（版本 1.0.5 和 1.0.6）锁定的数据。” 报告BleepingComputer。

8 月，eCh0raix 勒索软件的新变种  开始感染台湾供应商 QNAP 和 Synology 的网络附加存储 (NAS) 设备。

eCh0raix 勒索软件至少自 2019 年以来一直活跃，当时安全公司 Intezer 和 Anomali 的电子专家分别发现了针对网络附加存储 (NAS) 设备的勒索软件样本。

NAS 服务器是黑客的特权目标，因为它们通常存储大量数据。勒索软件针对的是威联通制造的保护不力或易受攻击的 NAS 服务器，攻击者利用已知漏洞或进行暴力攻击。

该勒索软件被 Intezer 跟踪为“ QNAPCrypt ”和Anomali 的“ eCh0raix ”，是用 Go 编程语言编写的，并使用 AES 加密来加密文件。恶意代码将 .encrypt 扩展名附加到加密文件的文件名。

今年 5 月，QNAP 警告 客户，威胁攻击者正在利用eCh0raix 勒索软件 攻击其网络附加存储 (NAS) 设备 并利用 Roon Server 零日漏洞。

这家台湾供应商被告知正在进行的 eCh0raix 勒索软件攻击使用弱密码感染了 QNAP NAS 设备。

独立专家 观察到 ，4 月 19 日至 26 日期间 eCh0raix 感染报告激增。

在同一时期，该供应商还警告其用户持续发生 AgeLocker 勒索软件爆发。

2019 年，Anomali 研究人员报告了一波针对 Synology NAS 设备的 eCh0raix 攻击浪潮，攻击者  对它们进行了蛮力攻击。