事件報(bào)道

根據(jù)研究人員的最新報(bào)道，近期有一個(gè)勒索軟件團(tuán)伙使用7zip壓縮程序來(lái)對(duì)QNAP設(shè)備上的文件進(jìn)行加密，并在短短五天時(shí)間內(nèi)盈利可26萬(wàn)美元。

從周一開(kāi)始，全球各地的QNAP NAS用戶突然發(fā)現(xiàn)自己的文件竟然被加密了，而罪魁禍?zhǔn)拙褪且粋€(gè)名為Qlocker的勒索軟件，這款勒索軟件可以利用他們?cè)O(shè)備上的漏洞來(lái)實(shí)施攻擊并加密用戶的文件數(shù)據(jù)。

?[[396175]]?

雖然大多數(shù)勒索軟件團(tuán)伙會(huì)在他們的惡意軟件中投入了大量的開(kāi)發(fā)時(shí)間，以使其高效、功能豐富，并具有強(qiáng)大的加密能力，但Qlocker團(tuán)伙甚至不必創(chuàng)建自己的惡意軟件程序。

相反，他們會(huì)嘗試掃描連接到接入了互聯(lián)網(wǎng)的QNAP設(shè)備，并利用最近披露的漏洞進(jìn)行攻擊。攻擊成功后，攻擊者將遠(yuǎn)程執(zhí)行7zip壓縮工具對(duì)目標(biāo)NSA存儲(chǔ)設(shè)備上的所有文件進(jìn)行加密。

這是這種簡(jiǎn)單的方法，允許他們可以使用7zip壓縮工具中內(nèi)置的加密算法，并在短短五天時(shí)間內(nèi)加密了上千臺(tái)設(shè)備。

勒索金額標(biāo)價(jià)明確，但真的“合理”嗎?

以企業(yè)為目標(biāo)的勒索軟件通常要求支付10萬(wàn)到5000萬(wàn)美元不等的贖金，以解密受害者的所有設(shè)備，而不泄露他們被盜的數(shù)據(jù)。

但是，Qlocker選擇了一個(gè)不同的目標(biāo)，即使用QNAP NAS設(shè)備進(jìn)行網(wǎng)絡(luò)存儲(chǔ)的普通用戶和中小型企業(yè)。

由此看來(lái)，Qlocker攻擊者很清楚自己的主要目標(biāo)，因?yàn)樗麄兊牡内H金定價(jià)“僅”為0.01比特幣，或者按照今天的比特幣價(jià)格，大約為500美元(對(duì)于小編來(lái)說(shuō)仍是天價(jià)!)。

決定支付數(shù)百萬(wàn)美元需要公司認(rèn)真考慮丟失的數(shù)據(jù)是否真的值數(shù)百萬(wàn)美元。但犯罪分子和目標(biāo)用戶可能會(huì)感覺(jué)，他們只需要支付500美元的一個(gè)“小代價(jià)”就可以恢復(fù)自己的重要文件，還是比較劃算的。

事實(shí)證明，Qlocker團(tuán)伙的決策是正確的，因?yàn)樗麄兊腻X包經(jīng)過(guò)幾天時(shí)間現(xiàn)在已經(jīng)賺得盆滿缽滿了。

Qlocker目前已經(jīng)盈利26萬(wàn)美元

由于Qlocker勒索軟件使用了一組固定的比特幣地址，目標(biāo)用戶可以自行選擇向哪一個(gè)錢包地址支付比特幣，而研究人員也收集到了這些地址以監(jiān)控相關(guān)的支付活動(dòng)。

就在周二晚上，，安全研究員Jack Cable發(fā)現(xiàn)了一個(gè)臨時(shí)性的安全漏洞，并成功免費(fèi)恢復(fù)了55名目標(biāo)用戶的文件。在利用這個(gè)漏洞的同時(shí)，他還收集到了10個(gè)不同的比特幣地址。

此后，研究人員又收集到了另外10個(gè)地址，Qlocker的攻擊者總共使用了20個(gè)比特幣地址。

下面給出的就是這20個(gè)比特幣錢包地址，總共接收到了5.25735623個(gè)比特幣，價(jià)值大約為26萬(wàn)美元。

??

由此看來(lái)，現(xiàn)在大約已經(jīng)有525名目標(biāo)用戶支付了數(shù)據(jù)贖金。

但不幸的是，隨著用戶做出付費(fèi)恢復(fù)文件的艱難決定，贖金不斷涌入，因此這個(gè)數(shù)字可能會(huì)在整個(gè)周末和下周增加。

緩解方案

目前，這個(gè)勒索攻擊活動(dòng)仍在進(jìn)行之中，每天都有新的受害者出現(xiàn)。因此，所有QNAP用戶必須更新最新版本的多媒體控制臺(tái)、媒體流附加組件和混合備份同步應(yīng)用程序，以修復(fù)漏洞并防范這些勒索軟件攻擊。

此外，我們還建議用戶采取其他措施以保護(hù)其NAS設(shè)備的安全，以應(yīng)對(duì)將來(lái)可能發(fā)生的其他攻擊。

來(lái)源：??bleepingcomputer???