Новая группа вымогателей DeadBolt шифрует устройства QNAP NAS по всему миру, используя, как они утверждают, уязвимость нулевого дня в программном обеспечении устройства.
Атаки начались сегодня, 25 января, когда устройства QNAP внезапно обнаружили, что их файлы зашифрованы, а имена файлов дополнены расширением .deadbolt .
Вместо того, чтобы создавать заметки о выкупе в каждой папке на устройстве, страница входа в систему устройства QNAP перехватывается, чтобы отобразить экран с надписью «ВНИМАНИЕ: ваши файлы были заблокированы DeadBolt», как показано на изображении ниже.
Сообщение о выкупе на взломанной странице входа в систему QNAP
Источник: Twitter
Этот экран информирует жертву о том, что она должна заплатить 0,03 биткойна (приблизительно 1100 долларов США) на закрытый биткойн-адрес, уникальный для каждой жертвы.
После совершения платежа злоумышленники заявляют, что они совершат следующую транзакцию по тому же адресу, который включает в себя ключ дешифрования, который можно получить с помощью следующих инструкций.
Инструкции по расшифровке ключа
Источник: landski на BleepingComputer
Затем этот ключ дешифрования можно ввести на экран, чтобы расшифровать файлы устройства. В настоящее время нет подтверждения того, что оплата выкупа приведет к получению ключа дешифрования или что пользователи смогут расшифровывать файлы.
BleepingComputer известно о по меньшей мере пятнадцати жертвах новой атаки программы-вымогателя DeadBolt без указания конкретного региона.
Как и все атаки программ-вымогателей на устройства QNAP, атаки DeadBolt затрагивают только устройства, доступные через Интернет.
Поскольку злоумышленники утверждают, что атака осуществляется через уязвимость нулевого дня, всем пользователям QNAP настоятельно рекомендуется отключить свои устройства от Интернета и поместить их за брандмауэром.
Поскольку владельцы QNAP подвергаются постоянным атакам со стороны двух других семейств программ-вымогателей, известных как Qlocker и eCh0raix , всем владельцам следует выполнить следующие действия , чтобы предотвратить атаки в будущем.
BleepingComputer создал тему поддержки программы-вымогателя DeadBolt , которую можно использовать для обсуждения атак и получения помощи от других владельцев QNAP.
Злоумышленники требуют 50 биткойнов за мастер-ключ
На главном экране заметки о выкупе есть ссылка под названием «важное сообщение для QNAP», при нажатии на которую отобразится сообщение от банды DeadBolt специально для QNAP.На этом экране банда вымогателей DeadBolt предлагает полную информацию о предполагаемой уязвимости нулевого дня, если QNAP заплатит им 5 биткойнов на сумму 184 000 долларов.
Они также готовы продать QNAP главный ключ дешифрования, который может расшифровать файлы для всех затронутых жертв, и информацию нулевого дня за 50 биткойнов, или примерно 1,85 миллиона долларов.
«Выполните платеж в биткойнах в размере 50 BTC на адрес bc1qnju697uc83w5u3ykw7luujzupfyf82t6trlnd8», — написали злоумышленники в сообщении QNAP.
«Вы получите универсальный главный ключ дешифрования (и инструкции), который можно использовать для разблокировки файлов всех ваших клиентов. Кроме того, мы также отправим вам все подробности об уязвимости нулевого дня на адрес security@qnap.com».
Сообщение от злоумышленников для QNAP
Источник: Twitter
Банда вымогателей также заявляет, что с ними невозможно связаться, кроме как через платежи в биткойнах.
Этот метод связи сильно отличается от других атак программ-вымогателей, которые обычно обеспечивают некоторую форму связи, будь то через специальный веб-сайт Tor, электронную почту или платформы обмена сообщениями.
BleepingComputer связался с QNAP с вопросами об атаках DeadBolt и обновит историю своим ответом.
Обновление: добавлена дополнительная информация о том, как будет получен ключ дешифрования.
Перевод - Google
Bleeping Computer
