QNAP NAS遭勒索軟體盯上，Arm、x86處理器產品皆中鏢

早在2014年的時候，Synology推出的NAS就成為勒索軟體SynoLocker下手的目標，而根據資安公司Anomali與Intezer的研究，QNAP的NAS產品也正遭受名為eCh0raix或QNAPCrypt惡意軟體的攻擊，讓被害者可能損失NAS中的重要資料。

勒索軟體盯上QNAP

根據Anomali官方部落格所提供的資料，他們將這款勒索軟體稱為eCh0raix，它會以暴力破解的方式入侵QNAP推出的NAS，並使用AES加密演算法鎖定特定副檔名的文件。

受影響之檔案路徑：
/PROc
/boot/
/sys/
/run/
/dev/
/etc/
/home/httpd
/mnt/ext/opt
.system/thumbnail
.system/opt
.config
.qpkg

受影響之檔案副檔名：
.dat.db0.dba.dbf.dbm.dbx.dcr.der.dll.dml.dmp.dng.doc.dot.dwg.dwk
.dwt.dxf.dxg.ece.eml.epk.eps.erf.esm.ewp.far.fdb.FIT.flv.fmp.fos.fpk
.fsh.fwp.gdb.gho.gif.gne.gpg.gsp.gxk.hdm.hkx.HTC.htm.htx.hxs.idc
.idx.ifx.iqy.iso.itl.itm.iwd.iwi.jcz.jpe.jpg.jsp.jss.jst.jvs.jws.kdb.kdc
.key.kit.ksd.lbc.lbf.lrf.ltx.lvl.lzh.m3u.m4a.map.max.mdb.mdf.mef
.mht.mjs.mlx.mov.moz.mp3.mpd.MPP.mvc.mvr.myo.NBA.nbf.ncf
.ngc.nod.nrw.nsf.ntl.nv2.nxg.nzb.oam.odb.odc.odm.odp.ods.odt
.ofx.olp.orf.oth.p12.p7b.p7c.pac.pak.pdb.pdd.pdf.pef.pem.pfx.pgp
.php.png.pot.ppj.pps.ppt.prf.pro.psd.PSK.psp.pst.psw.ptw.ptx.pub
.qba.qbb.qbo.qbw.qbx.qdf.qfx

Intezer則在官方部落格以QNAPCrypt稱呼這款惡意軟體，並發現它有針對Arm與x86等不同架構處理器攻擊的變種病毒，它的運作方式與一般勒索軟體接近，就是將受害裝置中的檔案加密，讓檔案無法被存取，並向受害者發送勒索信要求贖金以解鎖這些檔案。

然而與常見勒索軟體不同的是，由於攻擊目標是NAS而非電腦，所以勒索信並不會直些顯示於螢幕，而是以文字檔的型式出現，在NAS遭受感染後，QNAPCrypt會先從命令和控制伺服器（C＆C）下載比特幣錢包地址與RSA公鑰，且每位受害者都會被分配到獨特的錢包，讓我們更難追踪攻擊者的身份。

▲ Intezer透過自動化腳本建立大量「虛擬」受害者，以分析勒索軟體的行為。（圖片來源：Intezer，下同）

▲ QNAPCrypt要求受害者使用比特幣支付贖金。

在研究的過程中，Intezer發現QNAPCrypt使用的預先建立的比特幣錢包接收贖金，而在1,091名「虛擬」受害者感染後，QNAPCrypt用盡了所有比特幣錢包，因此會停止感染新的NAS，讓災情得以緩和。此外為了防堵QNAPCrypt未來會有新的變種病毒，Intezer也建立了對應的YARA簽名，以利辨識這款勒索軟體。