Sürgü Ransomware, artık dosyaları şifreleyerek ve Bitcoin'lerde 1,150 $ fidye talep ederek Asustor NAS aygıtlarını hedefliyor.
Bu saldırı dalgası ilk önce Reddit ve BleepingComputer forumlarında ve kısa bir süre sonra Asustor forumlarında bildirildi.
Geçen ay QNAP NAS aygıtlarını hedefleyen sürgü fidye yazılımı saldırılarına benzer şekilde, tehdit aktörleri Asustor NAS aygıtlarını şifrelemek için sıfır günlük bir güvenlik açığı kullandığını iddia ediyor.
Bir Asustor cihazındaki dosyaları şifreleme yaparken, Ransomware .Deadbolt dosya uzantısını içerecek dosyaları yeniden adlandırır. Asustor Giriş ekranı ayrıca aşağıda gösterildiği gibi yaklaşık 1,150 $ değerinde 0.03 bitcoin gerektiren bir fidye notu ile değiştirilecektir.
Asustor, NAS cihazlarının nasıl şifrelendiğini açıklamamış olsa da, bazı Asustor sahipleri, Cihazlarına erişime izin veren PLEX Media Server veya EZ Connect'te bir güvenlik açığı olduğuna inanıyor.
Asustor, saldırıları araştırdığını ve aşağıdaki ifadeyi sağladıklarını belirtir:
Asustor Cihazlarını Etkileyen Deadbolt Ransomware saldırılarına yanıt olarak, sorun araştırıldığı için MyAsustor.com DDNS servisi devre dışı bırakılır. Asustor, bunun bir daha olmadığını garanti etmenin nedenlerini araştırırken ve gözden geçirirken yeni gelişmelerle daha fazla bilgi yayınlayacaktır. Etkilenen müşterilerin mümkün olan her şekilde yardım etmeyi taahhüt ediyoruz. Korunmanız için aşağıdaki önlemleri öneriyoruz:
8000 ve 8001'in varsayılan NAS Web Erişimi bağlantı noktaları ve ayrıca 80 ve 443 uzaktan web erişim bağlantı noktalarının yanı sıra varsayılan bağlantı noktalarını değiştirin.
En önemlisi, Sürgü tarafından şifrelenmekten kaçınmak için Asustor cihazınızı internete maruz bırakmayın.
Sürgü cihazınıza zaten bulaşmışsa, Ethernet kablosunu çıkarın ve güç düğmesini üç saniye basılı tutarak NAS cihazınızı kapatın.
Tüm dosyaları sileceği için NAS'ı yeniden başlatmaya çalışmayın. Bunun yerine, ASUSTOR TECHNICIAN'ların dosyalarınızı nasıl kurtaracağına ilişkin talimatları talep etmek için bu iletişim formunu kullanın.
Tüm Asustor cihazlarının sürgü saldırılarına karşı savunmasız olması durumunda belirsizdir, ancak raporlar AS6602T, AS-6210T-4K, AS5304T, AS6102T ve AS5304T modellerinin etkilenmez olduğunu göstermektedir.
Ne yazık ki, sürgü fidyeware tarafından şifrelenen dosyaları ücretsiz olarak kurtarmanın bir yolu yoktur ve birçok etkilenen QNAP kullanıcısı dosya kurtarmak için fidye ödemeye zorlandı.
Asustor, bugün bir kurtarma üretici yazılımı serbest bırakmayı planlıyor, böylece kullanıcılar bir kez daha NAS cihazlarını kullanabilirler. Ancak, bu ürün yazılımı güncellemesi şifreli dosyaları kurtarmaya yardımcı olmaz.
AsuSustor, Facebook Sayfasına, NAS'larını kullanan kullanıcılar için bugün destek mühendislerimizden bir kurtarma üretici yazılımını yayınlamak için tahmin ediyoruz. Ancak, kullanıcıların yedekleri yoksa, şifrelenmiş dosyalar kurtarılamaz "dedi.
Ne yazık ki, bu kurtarma işlemi muhtemelen Ransom Notes sayfalarını ve kötü amaçlı yazılım çalıştırılabilir bir fidye ödenirse, bir fidye ödenirse, tarihsel olarak QNAP sahipleri için çok sayıda sorun yaratır.
Kullanıcıların index.cgi'yi yedeklemesi ve tüm dosyalarınızın geri kazanım yazılımını çalıştırmadan önce Deadbolt.html dosyaları tarafından kilitlendiği şiddetle önerilir.
Bu dosyalar, fidye ödemesi için gerekli bilgileri içerir ve sahip oldukları, EMSisoft'un sürgü için EMSisoft'un şifreliği ile kullanabileceği bir şifre çözme anahtarı alır.
Bir fidye ödenirse, tehdit aktörleri aynı Bitcoin işlemine bir bitcoin işlemi yaratacaklar, mağdurun şifre çözme anahtarını içeren bir fidye ödenmiştir. Şifre çözme anahtarı, aşağıda gösterildiği gibi OP_return çıkışının altında bulunur.
Şifreleme sürecinde yardıma ihtiyaç duyanlar için ya da geçen ay QNAP aygıtlarını etkilenen ortak sorunları görmek isteyenler için, sürgü fidye yazılımı destek konusumuzu gözden geçirebilirsiniz.
QNAP cihazlarındaki saldırılara benzer şekilde, sürgü, NAS aygıtlarını ihlal etmek için kullanılan, NAS aygıtları ve tüm kurbanlar için ana şifreleme için kullanılan sıfır günlük güvenlik açığı hakkında Asustor'a bilgi satmaya çalışıyor.
Sürgü Ransom Notu, "Asustor için önemli bir mesaj" başlıklı bir bağlantı, tıklandığında, özellikle de Asustor için sürgü çetesinden bir mesaj görüntüleyecektir.
Bu ekranda, sürgü tehdidi aktörleri, Asustor, 290.000 dolar değerinde 7.5 Bitcoin'leri öderse, sıfır günlük güvenlik açığının ayrıntılarını satıyorlar.
Sürgü çetesi, aynı zamanda tüm kurbanlar için ana şifre çözme anahtarı ve 50 Bitcoins için sıfır günlük detaylar, 1,9 milyon dolar değerinde satış yapmaya çalışıyor.
"BC1QGEGHFV5WLL35L5TTANGZPJGZ82Y7LGWCP8SE4A'ya 50 BTC'nin BTCOIN ödemesini yapın," Tehdit aktörleri QNAP'a bir mesaj yazdı.
"Tüm istemcilerinizin dosyalarını açmak için kullanılabilecek bir evrensel şifre çözme ana anahtarı (ve talimatlar) alacaksınız. Ayrıca, size Size Security@asustor.com adresine sıfır gün güvenlik açığı ile ilgili tüm detayları size göndereceğiz."
Ransomware işlemi, Bitcoin ödemesini yapmaktan başka onlarla iletişim kurmanın bir yolu olmadığını belirtir. Bununla birlikte, ödeme yapıldığında, bilgileri Security@asustor.com e-posta adresine göndereceklerini söylüyorlar.
Asustor'un gasp talebini ödeyeceği şüphelidir, bu nedenle sürgü ransomware NAS cihazınızı şifreliyse, dosyaları kurtarmanın tek yolu yedeklemelerden geri yüklemek veya fidye ödemektir.
Geçtiğimiz ayın fidye yazılımının BleepingComputer tarafından yapılan analizine dayanarak, Deadbolt, aşağıda gösterildiği gibi herhangi bir satıcı için değiştirilebilecek fidye notu için bir şablon kullanan bir Linux kötü amaçlı yazılımdır:
Bu nedenle, gelecekteki diğer NAS üreticilerine karşı saldırıları göreceğiz.
QNAP: Deadbolt Ransomware Aralık ayında yamalı bir böcek patladı
Yeni Sürgü Ransomware Hedefler QNAP Cihazları, Master Key için 50 BTC'ye sorar
QNAP Force-Installs Güncelleme Sürgü Sonrası Ransomware 3,600 Cihaz Hit
QNAP NAS Cihazlarını Şifreleyen Yeni Sürgü Ransomware'in Uyarıları
QLocker Ransomware dünya çapında QNAP NAS aygıtlarını hedefe geri döner
Kaynak: Bleeping Computer