QNAP ostrzega przed nowym oprogramowaniem ransomware DeadBolt szyfrującym urządzenia NAS.

, , , ,

Jak podaje portal BleepingComputer.com firma QNAP ponownie ostrzega klientów przed nowym oprogramowaniem ransomware. Należy zabezpieczyć swoje urządzenia NAS podłączone do internetu w celu ochrony przed trwającymi i powszechnymi atakami za pomocą nowego wirusa ransomware DeadBolt.

„DeadBolt szeroko atakuje wszystkie NAS wystawione w Internecie bez jakiejkolwiek ochrony i szyfrowania danych użytkowników w celu okupu za Bitcoiny” – podała firma w wydanym oświadczeniu.

Jeśli Twój serwer NAS jest podłączony do internetu oraz na jego pulpicie wyświetla się komunikat : „Usługa administracji systemu może być bezpośrednio dostępna z zewnętrznego adresu IP za pośrednictwem następujących protokołów: HTTP” jest narażony na atak ze strony złośliwego oprogramowania.

Wszyscy użytkownicy QNAP są zachęcani do „natychmiastowej aktualizacji QTS do najnowszej dostępnej wersji”, aby zablokować nadchodzące ataki ransomware DeadBolt.

QNAP zaleca również klientom natychmiastowe wyłączenie przekierowania portów na routerze i funkcji UPnP serwera QNAP NAS, wykonując następujące czynności:

  • Wyłącz funkcję Port Forwarding routera: Przejdź do interfejsu zarządzania routera, sprawdź ustawienia Virtual Server, NAT lub Port Forwarding i wyłącz ustawienie przekierowania portu usługi zarządzania NAS (domyślnie port 8080 i 433).
  • Wyłącz funkcję UPnP serwera QNAP NAS: Przejdź do myQNAPcloud w menu QTS, kliknij opcję „Automatyczna konfiguracja routera” i usuń zaznaczenie opcji „Włącz przekazywanie portów UPnP”.

Możesz również skorzystać z tego  szczegółowego przewodnika krok po kroku,  aby wyłączyć połączenia SSH i Telnet, zmienić numer portu systemowego i hasła urządzeń oraz włączyć ochronę IP i dostępu do konta.

Na forum portalu BleepingComputer znajduje się również  temat wsparcia dla ransomware DeadBolt, w którym można znaleźć  więcej informacji na temat ataków i skorzystać z pomocy innych użytkowników QNAP.

Nowe powierzchnie oprogramowania ransomware DeadBolt

Jak poinformował wczoraj BleepingComputer,  grupa oprogramowania ransomware DeadBolt zaczęła atakować użytkowników QNAP 25 stycznia, szyfrując pliki na zhakowanych urządzeniach NAS i dodając rozszerzenie .deadbolt.

Osoby atakujące nie zrzucają notatek z żądaniem okupu na zaszyfrowane urządzenia, ale zamiast tego przechwytują strony logowania, aby wyświetlić ekrany ostrzegawcze z napisem „OSTRZEŻENIE: Twoje pliki zostały zablokowane przez DeadBolt”.

Ekran okupu prosi ofiary o zapłacenie 0,03 bitcoina (około 1100 USD) na unikalny adres Bitcoin wygenerowany dla każdej ofiary ataku, twierdząc, że klucz deszyfrujący zostanie wysłany na ten sam adres blockchain w polu OP_RETURN po przejściu płatności.

W tej chwili nie ma żadnych potwierdzeń, że cyberprzestępcy faktycznie spełnią swoją obietnicę wysłania działającego klucza deszyfrującego po zapłaceniu okupu.

Notatka i instrukcje dotyczące okupu DeadBolt
Notatka i instrukcje dotyczące okupu DeadBolt (BleepingComputer)

Te trwające ataki ransomware DeadBolt dotyczą tylko nie zabezpieczonych urządzeń NAS, a biorąc pod uwagę, że atakujący twierdzą również, że używają błędu dnia zerowego, zaleca się odłączenie ich od Internetu.

Gang DeadBolt prosi również QNAP o zapłacenie 50 bitcoinów (około 1,85 miliona dolarów) za zero-day i główny klucz deszyfrujący do odszyfrowania plików wszystkich ofiar.

Dzisiejsze ostrzeżenie jest trzecim ostrzeżeniem wydanym przez firmę QNAP w celu ostrzegania klientów o atakach ransomware wymierzonych w ich urządzenia NAS z dostępem do Internetu w ciągu ostatnich 12 miesięcy.

Wcześniej ostrzegano ich przed  atakami ransomware eCh0raix  w maju i  atakami ransomware AgeLocker  w kwietniu.

Firma  wezwała również wszystkich użytkowników QNAP NAS do zabezpieczenia urządzeń NAS narażonych na dostęp do Internetu  7 stycznia, jednocześnie ostrzegając ich o aktywnym oprogramowaniu ransomware i atakach typu brute-force.