Новая программа - вымогатель eCh0raix атакует серверы хранения файлов Linux | DedicateT.com

Регистрация
18.12.2017
Сообщения
597
Симпатии
334
Баллы
180
#1
1562867528493.png

Новый штамм вымогателей окрестили eCh0raix таргетинга на основе Linux QNAP Network Attached Storage (NAS) устройств. Вымогатели предназначены для заражения и шифрования файлов с помощью шифрования AES.

Вредоносная программа написана и скомпилирована на языке программирования Go и имеет только 400 строк кода. Он имеет очень низкую скорость обнаружения и предназначен только для серверов QNAP NAS на базе Linux.

QNAP-тайваньская компания, известная продажей серверов NAS для хранения данных и функциональности медиаплееров. Как правило, серверы NAS используются для хранения большого количества данных и файлов.

Программа-вымогатель, получившая название ”
У вас нет разрешения на просмотр ссылки! Войти или зарегистрироваться
“ от Intezer и ”
У вас нет разрешения на просмотр ссылки! Войти или зарегистрироваться
" от Anomali, включает в себя функции, аналогичные программе-вымогателю, но содержит несколько отличий.

После того, как вредоносная программа выполняется он обращается к команде и серверу управления, чтобы уведомить процесс шифрования, чтобы начать.

Перед шифрованием он запрашивает адрес кошелька и публичный RSA с сервера C&C.

1562867702472.png

Он взаимодействует с сервером C2 через прокси-сервер SOCKS5 Tor, а данные, записанные с сервера C2, кодируются JSON. Вымогатели шифрует файл с помощью ключа AES-256 и добавляет .шифрование расширения для зашифрованных файлов.

1562867786511.png

Перед запуском процесса шифрования он убивает следующие службы на зараженных серверах NAS.
  • apache2
  • httpd
  • nginx
  • mysqld
  • MySQL
  • PHP-fpm
  • php5-fpm
  • PostgreSQL
Он шифрует следующие расширения

Код:
.dat.db0.dba.dbf.dbm.dbx.dcr.der.dll.dml.dmp.dng.doc.dot.dwg.dwk.dwt.dxf.dxg.ece.eml.epk.eps.erf.esm.ewp.far.fdb.fit.flv.fmp.fos.fpk.fsh.fwp.gdb.gho.gif.gne.gpg.gsp.gxk.hdm.hkx.htc.htm.htx.hxs.idc.idx.ifx.iqy.iso.itl.itm.iwd.iwi.jcz.jpe.jpg.jsp.jss.jst.jvs.jws.kdb.kdc.key.kit.ksd.lbc.lbf.lrf.ltx.lvl.lzh.m3u.m4a.map.max.mdb.mdf.mef.mht.mjs.mlx.mov.moz.mp3.mpd.mpp.mvc.mvr.myo.nba.nbf.ncf.ngc.nod.nrw.nsf.ntl.nv2.nxg.nzb.oam.odb.odc.odm.odp.ods.odt.ofx.olp.orf.oth.p12.p7b.p7c.pac.pak.pdb.pdd.pdf.pef.pem.pfx.pgp.php.png.pot.ppj.pps.ppt.prf.pro.psd.psk.psp.pst.psw.ptw.ptx.pub.qba.qbb.qbo.qbw.qbx.qdf.qfx
Он также проверяет геолокацию зараженного сервера, если NAS severs находится в Беларуси, Украине или России, он выходит из процесса с шифрованием. После того, как он заблокировал систему он показывает следующее сообщение.

Оплата обрабатывается через домен Onion вместе с уникальным открытым ключом RSA, который будет отправлен оператору ransomware.

1562867896701.png

"Мы смогли собрать в общей сложности 1 091 уникальный кошелек, предназначенный для доставки новым жертвам, распределенным между 15 различными кампаниями “”
Администраторам рекомендуется ограничить внешний доступ к устройству NAS QNAP, использовать надежный пароль и обеспечить обновление устройства исправлениями безопасности.

IoC

Код:
Bitcoin addresses
18C28bVEctVtVbwNytt4Uy6k7wxpysdDLH
1Fx7jev3dvHobdK8m3Jk6cA8SrfzjjLqvM

Samples
154dea7cace3d58c0ceccb5a3b8d7e0347674a0e76daffa9fa53578c036d9357 (DE)
3d7ebe73319a3435293838296fbb86c2e920fd0ccc9169285cc2c4d7fa3f120d (TW)
95d8d99c935895b665d7da2f3409b88f ( linux_cryptor)

URLs
http://sg3dwqfpnr4sl5hh[.]onion/api/GetAvailKeysByCampId/13
http://sg3dwqfpnr4sl5hh[.]onion/order/1LWqmP4oTjWS3ShfHWm1UjnvaLxfMr2kjm
http://sg3dwqfpnr4sl5hh[.]onion/static/

IP
192.99.206.61:65000
 
Похожие темы:

Пользователи, которые просматривали тему (Всего: 7)