一种新的勒索软件针对网络连接存储（NAS）设备

NAS设备是家庭和小型企业的理想选择，是连接到网络或通过Internet的专用文件存储单元，允许用户在多台计算机上存储和共享数据和备份。

这一新勒索软件家族是由两家独立安全公司Intezer和Anomali的研究人员独立发现的，它的目标是保护不善或易受攻击的QNAP NAS服务器，要么通过强制使用弱SSH凭据，要么利用已知的漏洞。

这种新的勒索软件被Intezer称为“QNAPCrypt”，Anomali称为“eCh0raix”，它是用Go编程语言编写的，并使用AES加密和附件对具有目标扩展名的文件进行加密。对每个扩展进行加密。

但是，如果受损的NAS设备位于白俄罗斯、乌克兰或俄罗斯，勒索软件将终止文件加密过程，并在不损害文件的情况下退出。

此外，在本文的后面，我们还解释了研究人员如何利用勒索软件基础设施中的逻辑弱点，使他们能够暂时阻止这种恶意软件感染新的受害者。

在执行时，文件加密勒索软件首先连接到其远程命令和控制服务器，该服务器在Tor网络后面受到保护，使用SOCKS5 Tor代理通知攻击者新的受害者。

Anomali研究人员说：“根据分析，很明显，该代理是由恶意软件作者设置的，目的是提供恶意软件的Tor网络访问，而不包括恶意软件中的Tor功能。”。

在加密文件之前，勒索软件会向攻击者的C&amp；C服务器，其中包含已创建比特币地址的预定义列表。

如果服务器用完了唯一的比特币地址，勒索软件不会继续加密文件，并等待攻击者创建并提供新地址。

有趣的是，Intezer的研究人员利用这一机制创建了一个脚本，让他们能够欺骗攻击者的C&amp；C服务器将所有可用比特币地址分配给数百名虚拟受害者，从而阻止勒索软件为新的合法受害者加密文件。

“由于这个勒索软件的作者从一个静态的已经生成的钱包池中为每个受害者提供一个比特币钱包，我们可以复制感染数据包来检索所有钱包，直到他们不再有其他钱包在他们的控制之下，”Intezer说。

“我们总共收集了1091个独特的钱包，这些钱包将被分发给15个不同活动中的新受害者。”

如果勒索软件获得其唯一的比特币钱包，它将生成一个32个字符的随机字符串，以创建一个AES-256密钥，然后使用它以密码反馈模式（CFB）使用AES算法加密目标NAS设备上存储的所有文件，删除原始文件。

由于加密模块使用math的软件包生成密钥，Anomali说，研究人员有可能为新勒索软件系列编写解密程序，因为该功能并非完全随机。

Anomali研究人员说：“恶意软件使用当前时间的种子初始化数学随机页面。由于它使用数学的包生成密钥，因此它不是加密随机的，并且很可能编写解密程序。”。

“threat actor针对用于文件存储和备份的QNAP NAS设备。这些设备运行防病毒产品并不常见，目前，只有2-3款产品在VirusTotal上检测到这些样本，这使得勒索软件可以不受限制地运行。”

研究人员还指出，在对存储在目标NAS设备上的文件进行加密之前，勒索软件还试图杀死特定的进程列表，包括apache2、httpd、nginx、MySQL、MySQL和PostgreSQL。

作为提醒，我们敦促用户不要在不知情或不必要的情况下将其NAS设备直接连接到Internet，并启用自动更新以保持固件最新。

此外，我们始终建议用户首先使用强密码保护其NAS设备，并定期备份这些设备上存储的信息，以便在发生任何灾难时，可以在不向攻击者支付赎金的情况下恢复重要数据。