Egy biztonságtechnikai cég szakemberei meglehetősen érdekes veszélyre bukkantak, amely a QNAP hálózati adattárolóit érinti – gyakorlatilag egy zsarolóvírusról van szó, amely a NAS-ra kerülve titkosítja a rajta tárolt fájlokat, majd a titkosítás feloldásáért „váltságdíjat” kér. A veszélyre időközben már a QNAP is felhívta a NAS tulajdonosok figyelmét, sőt, ezzel egy időben tippeket is adott, amelyekkel jelentősen csökkenthető a veszély mértéke.
A veszély mértéke jelentősen csökkenthető, ha megfogadjuk a gyártó tanácsait
A szóban forgó zsarolóvírusra az Anomali szakemberei hívták fel a figyelmet még július 10-én. Elmondásuk szerint az eCh0raix névre keresztelt kártevő a zsarolóvírusokra jellemző módszereket alkalmazza: első körben megpróbálja feltörni az adott NAS-t az ismert sérülékenységeken keresztül, illetve megpróbálja „kitalálni” a bejelentkezéshez szükséges adatokat – utóbbiaknál egyszerű „brute force” módszert alkalmaz.
Amennyiben sikerrel jár, letölt egy algoritmust, amely titkosítja a készítő által megadott fájltípusokat, méghozzá AES adattitkosítással, a normál kiterjesztés helyét pedig a „.encrypt” kiterjesztés veszi át.
A munka végén tájékoztatja az érintett felhasználót a további teendőkről, azaz ráveszi, hogy a Tor webböngésző használatával látogasson meg egy weboldalt, amely minden szükséges információt tartalmaz azzal kapcsolatban, hogyan szerezheti vissza fájljait. Itt rendszerint arról esik szó, mely számlára utaljon át bizonyos összeget a delikvens a titkosítás feloldásához, ám a fizetés után nem mindig kapja meg a felhasználó a feloldáshoz szükséges kódot, így a biztonságtechnikai szakemberek szerint nem érdemes fizetni.
Az Anomali szerint az eXCh0raix elsősorban a publikusan elérhető QNAP NAS-okat veszi célba, közülük is azokat, amelyek Ukrajnán, Oroszorzágon és Fehéroroszországon kívül működnek. A támadás ellen frissen tartott szoftverekkel, a külső elérés korlátozásával, valamint erős jelszóval lehet védekezni – és érdemes használni a kétfaktoros hitelesítést is.
A QNAP az alábbi lépéseket ajánlja a NAS tulajdonosoknak:
- Frissítsék a QTS szoftvert a legújabb verzióra
- Telepítsék és frissítsék a Malware Remover alkalmazást
- Használjanak erős admin jelszót
- Engedélyezzék a Network Access Protection szolgáltatást, így ugyanis védetté válnak a fiókok a „brute force” alapú támadások ellen, amelyek a lehetséges kombinációk próbálgatásával dolgoznak
- Tiltsák le az SSD és a Telnet szolgáltatásokat, amennyiben nem használják őket
- Kerüljék az alapértelmezett portok használatát, mint amilyen a 443-as és a 8080-as
A QNap ezzel együtt már egy olyan megoldáson is dolgozik, amely eltávolítja a zsarolóvírust a fertőzött eszközökről, ezt pedig minél hamarabb megpróbálják elérhetővé tenni. Addig is érdemes megfogadni a fenti tanácsokat, azokkal ugyanis jelentősen csökkenthető a támadási felület.
