Шифровальщик Storagecrypt - Опасная угроза для NAS
Beeping Computer сообщает о том, что на сетевые системы хранения данных — Network Attached Storage (NAS) — просачивается вирус-вымогатель.
Новый шифровальщик StorageCrypt блокирует все файлы при попытке открыть папку на зараженном сервере, награждая их расширением .locked, и оставляет текстовый документ с именем READ_ME_FOR_DECRYPT — в нем пользователь видит требования мошенников и адрес для перечисления криптовалюты. Сумма выкупа, которую требуют киберпреступники, составляет около трех биткойнов. В зоне риска находятся такие устройства NAS, как, например, My Cloud от Western Digital.
Вредонос использует SambaCry — уязвимость пакета программ Samba для Linux. Жертвы атаки обнаруживают во всех папках сетевого хранилища файлы Autorun.inf и исполняемый файл с названием 美女与野兽.exe (в переводе с китайского — «Красавица и чудовище»). Выгрузив эксплойты на сервер, шифровальщик с легкостью может проникнуть и на ПК пользователей.
Попадая в NAS, SambaCry позволяет злоумышленникам выполнять произвольные shell-команды и затем запускать вредоносный код StorageCrypt. При эксплуатации бреши файл с именем sambacry автоматически загружается в папку /tmp и затем распаковывается. Специалисты по IT-безопасности не уверены, что именно этот файл запускает основной вирус: возможно, он всего лишь используется как бэкдор.
Для пресечения попыток блокировки стоит ограничить хотя бы одному из NAS-устройств доступ в Интернет, где данные наиболее уязвимы для атак. Лоуренс Абрамс (Lawrence Abrams), один из основателей портала Beeping Computer, рекомендует пользователям сетевых хранилищ установить надежный брандмауэр и пользоваться VPN-соединением.
Похожая уязвимость в Samba стала причиной череды успешных атак криптовымогателей полгода назад. Сотрудники «Лаборатории Касперского» зафиксировали, что на компьютеры жертв загружаются эксплойты, при помощи которых распространяются реверс-шеллы и утилита CPU miner — мощный инструмент для майнинга Monero. Точно оценить ущерб атак не удалось: по последним подсчетам, уже на тот момент преступники заполучили более $6000, и эта цифра продолжала расти. Сотрудники фирмы Rapid7, занимающейся контролем уязвимостей, при помощи собственного сервиса сканирования выявили более 104 тысяч устройств, где серверы Samba находятся в группе риска. На данный момент брешь под номером CVE-2017-7494 уже закрыта.
Чтобы избежать новой вспышки заражений, администраторам советуют обновить устройства до безопасных версий Samba: 4.6.4, 4.5.10 и 4.4.14.