Es gibt scheinbar eine neue (chinesische) Ransomware mit dem Namen StorageCrypt. Diese zielt auf NAS-Laufwerke mit Linux-Firmware, in denen die SambaCry-Sicherheitslücke noch nicht gefixt wurde.
Anzeige
Ende November 2017 gab es im Forum von Bleeping Computer einen neuen Thread, in dem ein Benutzer beklagt, dass sein Thecus 7710G NAS per Ransomware angegriffen und verschlüsselt wurde. Er schrieb:
We use a Thecus 7710G NAS which was attacked and encrypted. The tool on the ID Ransomware site was not able to determine the type of ransomeware.
Here is the case on the ID Ransomware site: SHA1: 7d1cff7dea5ee8f5a5016381e962766b52c59aef
Alle auf dem NAS verschlüsselten Dateien wiesen die Erweiterung .locked auf und in jedem Verzeichnis des NAS-Laufwerks fand sich eine Textdatei mit dem Dateinamen _READ_ME_FOR_DECRYPT.txt. Deren Inhalt ist nachfolgend zu finden:
Warning
Your documents,photos,databases,important files have been encrypted by RSA-4096 and AES-256!If you modify any file, it may cause make you cannot decrypt!!!
You have to pay for decryption in bitcoin
Before paying you can send to us up to 2 files for free decryption
and it can also prove that we have ability to decrypt.
Please note that files must NOT contain valuable information
and their total size must be less than 2MbHow to decrypt your files ?
To decrypt your files,please following the steps below
1,Pay 0.4 bitcoin to this address: ….
Wer ein NSA-Laufwerk mit Samba
Ein weiterer Benutzer berichtet, dass sein WD MyCloud ebenfalls Wochen vorher 'gehackt' wurde. Es haben sich weitere Betroffene (auch französisch sprechende Nutzer) im Thread gemeldet.
Kurze Analyse
Lawrence Abrams hat diesen Beitrag zum Thema veröffentlicht. Die Leute haben sich offenbar eine chinesische Ransomware 美女与野兽.exe eingefangen (übersetzt lautet der Dateiname 'Die Schöne und das Biest'). Die betroffenen Benutzer berichten, dass auf jeder Freigabe des NAS-Laufwerks eine Autorun.inf vorliegt, in der die obige Windows .exe-Datei abgelegt ist. Für der Windows-Client die Autorun.inf der Freigabe aus, wird die Malware auch dort aktiv.
Anzeige
Eine Analyse bei Bleeping Computer ergab, dass die Ransomware wohl die schon ältere SambaCry-Sicherheitslücke zur Verbreitung nutzt (hatte ich kurz im Blog-Beitrag Cyber-Sicherheit (28. August 2017) erwähnt). Weitere Details sind in diesen Beitrag nachzulesen.
Anzeige