Cybercriminelen vallen opnieuw de NAS-servers van de fabrikant QNAP aan met de populaire eCh0raix-ransomware, ook wel bekend als QNAPCrypt. Gebruikers melden aanvallen op hun computers, het doel van deze malware is om de NAS-servers met beheerdersrechten over te nemen en alle gegevens op de NAS-server te versleutelen, dus we moeten losgeld betalen om de bestanden en mappen op onze server toegankelijk. Wilt u alles weten over deze ransomware die QNAP opnieuw treft?
Wat doet deze QNAPCrypt op mijn NAS?
Gebruikers op verschillende fora melden al ongeveer een week ernstige beveiligingsincidenten op hun NAS-servers, sommige gebruikers werden op 20 december aangevallen en andere gebruikers gisteren. Het doel van deze ransomware is om de volledige controle over de NAS-server te krijgen om alle bestanden en mappen op de computer te versleutelen, daarnaast is het ook verantwoordelijk voor het verwijderen van de snapshots die zouden dienen om ons te beschermen tegen dit soort aanvallen. Deze malware omzeilt, wanneer hij de controle overneemt als beheerder, alle beveiligingen tegen ransomwares die we op de NAS-server kunnen nemen, daarom moeten we ervoor zorgen dat we er niet door worden geïnfecteerd.
De initiële infectievector is op dit moment niet bekend, het is niet bekend van welke kwetsbaarheid ze gebruikmaken om de server binnen te komen en alle gegevens te versleutelen. Sommige gebruikers hebben aangegeven dat ze niet alle gebruikelijke aanbevolen beveiligingsmaatregelen hebben genomen, zoals het QNAP-beheerderspaneel niet op internet blootstellen, anderen beweren dat de beveiligingsfout in de QNAP Photo Station-toepassing zit, waardoor aanvallers een escalatie van privileges hebben gekregen.
Deze eCh0raix-ransomware maakt een gebruiker aan in de beheerdersgroep, om later te beginnen met het coderen van alle gegevens erin, inclusief afbeeldingen en documenten, dus als het losgeld niet wordt betaald, kunnen we alles verliezen, tenzij we een kopie van de beveiliging maken. Een ander zeer belangrijk detail van deze ransomware is dat de notitie in platte tekst die het achterlaat op de NAS-server de verkeerde extensie heeft, in plaats van TXT te zijn, is het TXTT.
Deze ransomware vraagt om bitcoins om het decoderingswachtwoord te ontvangen, afhankelijk van de geïnfecteerde NAS zullen we tussen 0.024 bitcoins (1,200 dollar) en 0.06 bitcoins (ongeveer 3,000 dollar) moeten betalen, dus het zal erg duur zijn om onze gegevens te herstellen. We moeten niet vergeten dat met de nieuwste ransomware die QNAP trof, ongeveer 300-400 euro nodig was om de gegevens te herstellen, nu is dit cijfer verdrievoudigd.
Kunnen de bestanden worden gedecodeerd?
Momenteel kunnen de bestanden niet worden gedecodeerd, met de vorige versie van de eCh0raix ransomware konden ze worden gedecodeerd, deze ransomware trof QNAP in de zomer van 2019. De nieuwste varianten zijn versies 1.0.5 en 1.0.6 en heeft momenteel geen oplossing. Deze malware vormt sinds de zomer van 2019 aan en uit een bedreiging, dus we moeten onze QNAP NAS-servers goed beschermen om deze zeer gevaarlijke ransomware te vermijden.
De fabrikant QNAP houdt continu alle bedreigingen in de gaten en biedt soms oplossingen aan zijn gebruikers, zoals tools om NAS-bestanden te decoderen, maar dit soort oplossingen duurt meestal lang om te ontwikkelen, in de orde van weken, dus als we geïnfecteerd raken, kunnen we zal deze keer in ieder geval zonder onze bestanden zijn.
In dit artikel hebben we een volledige tutorial gepubliceerd over: hoe QNAP NAS goed te beschermen , om elke mogelijke ransomware-aanval te beperken.
