Киберпреступники обратили внимание на устройства NAS, которые очень часто используются в качестве файловых хранилищ для совместной работы, а также для хранения резервных копий и важных данных.

Новая разновидность шифровальщика, выявленная исследователями из Anomali в июне и получившая название eCh0raix, атакует сетевые хранилища NAS используя известные уязвимости для подобных устройств, а также подбирая пароли доступа.

Эксперты из Anomali выявили экземпляр ransomware специализирующегося на атаке исключительно NAS устройств, выпускаемых компанией QNAP. Устройства QNAP были выбраны злоумышленниками из-за большого количества обнаруженных в последнее время уязвимостей в защите. И не смотря на оперативный выпуск патчей закрывающих уязвимости, многие компании всё ещё не установили их и пользуются уязвимыми устройствами.

Эксперты установили, что шифровальщик eCh0raix написан на языке Go. eCh0raix проверяет файлы на наличие шифрования, затем связывается с управляющим сервером для регистрации ключа шифрования AES-256 и начинает шифрование устройства. Зашифрованные файлы получают расширение .encrypt.

Пользователи получают требование выкупа в Bitcoin с инструкциями по его выплате через веб-сайт Tor. Допущенные в тексте этого послания орфографические ошибки, по мнению исследователей, указывают, что для преступников английский язык не является родным.

В качестве мер защиты NAS от атак ransomware рекомендуется установить всё свежие исправления безопасности, задать стойкие к подбору пароли и ограничить внешний доступ к устройствам, в том числе и из Internet.