Er is een nieuwe ransomware ontdekt die zich voornamelijk richt op nas-systemen van QNAP. De gijzelsoftware gebruikt brute force-aanvallen om zwakke wachtwoorden van netwerkschijven te kraken.

Het gaat specifiek om de eCh0raix-ransomware. De ransomware werd voor het eerst ontdekt door beveiligingsonderzoekers van het Anomali Threat Research Team. QNAP zegt dat het werkt aan een manier om de malware van geïnfecteerde apparaten te verwijderen.

De ransomware voegt een .encrypt-extensie toe aan de bestanden en versleutelt die met aes 256-encryptie. Het gaat om vrijwel alle bestandssoorten die op de schijf staan. De malware gebruikt taalchecks om te zien of de nas in Rusland, Wit-Rusland of Oekraïne staat en infecteert die systemen vervolgens niet. Op de bitcoinadressen die gebruikt worden is te zien dat er nog geen betalingen zijn verricht, maar het is niet zeker of dat de enige adressen zijn die de daders inzetten.

Op de forums van BleepingComputer is te zien dat in ieder geval de QNAP TS-251, TS-253B, TS-451, en de TS-459 PRO II getroffen kunnen worden, maar wellicht gaat het om meer modellen. QNAP raadt gebruikers aan een virusscanner te gebruiken om de ransomware tegen te houden.

Het bedrijf geeft ook tips waardoor gebruikers minder risico lopen om slachtoffer van de ransomware te worden. Naast het updaten van de QTS-software naar versie 4.4 en het instellen van een sterker wachtwoord raadt het bedrijf ook aan ssh en telnet uit te schakelen en poort 8080 en 443 niet als de standaard te gebruiken, mits dat mogelijk is. Ook is het advies om Network Access Protection in te schakelen om systemen tegen brute force-aanvallen te beschermen.