当前位置:安全资讯 >> 全文

StorageCrypt勒索软件利用SambaCry感染NAS设备

发布时间:2017-12-7 9:24 标签: StorageCrypt SambaCry
分享到 0

最近一款新型勒索软件StorageCrypt利用SambaCry攻击NAS设备如西部数据My Cloud。受害者报告称自己的文件遭加密并且收到要求支付0.42比特币赎回文件。

用户还指出,他们的NAS设备的每个共享中都包含一个Autorun.inf文件以及一个Windows可执行文件“美女与野兽.exe”。从样本来看,这个Autorun.inf试图将“美女与野兽.exe”文件传播到在NAS设备上打开文件夹的计算机中。

利用SambaCry感染受害者

SambaCry是一个Linux Samba漏洞,如被利用则能让攻击者下载文件并在受影响设备上执行命令。当前感染NAS设备的方法跟此前用于传播密币挖机的Elf_Shellbind变体方法一样。

目前,攻击者正在利用这个漏洞在计算机上安装StorageCrypt。虽然我们尚未得到该感染样本,但可以肯定的是如利用Samba,则会执行一个下载sambacry文件的命令,并将它存储于名为 apaceha /tmp文件夹中并执行。

01.jpg

目前尚不知晓这个可执行文件是否是安装StorageCrypt的文件还是用作供后续访问的后门。

最终StorageCrypt会被安装而NAS上的所有文件都会加密。当文件被加密时,文件名称后缀会增加 .locked 扩展。这款勒索软件还会释放一则勒索信息 _READ_ME_FOR_DECRYPT.txt。该信息中包含勒索金额、接收勒索金的比特币地址以及供后续联系的邮件地址 JeanRenoAParis@protonmail.com

02.jpg

如之前所述,感染也会将Autorun.inf和“美女与野兽.exe”文件增加到NAS设备上的每个文件夹中。这样做是为了感染其它打开这些受感染文件夹的计算机。

截至本文发稿时,勒索留言中的其中一个比特币地址已经收到1比特币。目前尚不知晓它是否是勒索金付款。目前正在分析SambaCry勒索软件,如有新信息会更新这篇文章。

如何防范SambaCry

由于SambaCry针对的是Samba协议中的漏洞,因此很重要的一点是不要直接将任何一台NAS设备联网。如果设备联网,虽然你能够引流并访问文件,但同时也增加了被利用风险。正确的做法是为NAS设置防火墙并配置VPN后访问网络,这样就能以安全的方式访问NAS设备以及存储文件。

IOCs

哈希:

03.jpg

网络通信:

hxxp://45.76.102.45/sambacry

 

 

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.bleepingcomputer.com/news/security/storagecrypt-ransomware-infecting-nas-devices-using-sambacry/
参与讨论,请先 登录 | 注册

用户评论