Linux: Scoperto il nuovo Ransomware eCh0raix

E’ stato rilevato un nuovo ceppo ransomware soprannominato eCh0raix destinato ai dispositivi NAS (Network Attached Storage) basati su Linux. Il ransomware infetta e crittografa i file utilizzando la crittografia AES. Scritto e compilato in linguaggio di programmazione Go e ha solo 400 righe di codice con un tasso di rilevamento molto basso e si rivolge solo ai server QNAP NAS basati su Linux.

Il ransomware chiamato ” QNAPCrypt ” di Intezer e ” eCh0raix ” di Anomali, include funzioni simili al ransomware ma contiene diverse differenze.

Una volta eseguito il malware, raggiunge il server di comando e controllo per avviare il processo di crittografia, con associato un indirizzo del wallet e una RSA pubblica.

Si consiglia agli amministratori di limitare l’accesso esterno al dispositivo QNAP NAS, utilizzare una password complessa e assicurarsi che il dispositivo sia aggiornato con le patch di sicurezza.

Bitcoin addresses
18C28bVEctVtVbwNytt4Uy6k7wxpysdDLH
1Fx7jev3dvHobdK8m3Jk6cA8SrfzjjLqvM

Samples
154dea7cace3d58c0ceccb5a3b8d7e0347674a0e76daffa9fa53578c036d9357 (DE)
3d7ebe73319a3435293838296fbb86c2e920fd0ccc9169285cc2c4d7fa3f120d (TW)
95d8d99c935895b665d7da2f3409b88f ( linux_cryptor)

URLs
http://sg3dwqfpnr4sl5hh[.]onion/api/GetAvailKeysByCampId/13
http://sg3dwqfpnr4sl5hh[.]onion/order/1LWqmP4oTjWS3ShfHWm1UjnvaLxfMr2kjm
http://sg3dwqfpnr4sl5hh[.]onion/static/

IP
192.99.206.61:65000