Компания QNAP предупредила пользователей NAS-устройств о появлении нового шифровальщика — Checkmate. Злоумышленники внедряют его, используя интернет-доступ к службе SMB и слабые пароли к аккаунтам, которые они пытаются угадать перебором по словарю.
Первые атаки Checkmate ИБ-эксперты зафиксировали в конце мая. Вредонос использует алгоритмы AES и RSA (в последнем случае для защиты AES-ключа) и шифрует содержимое файлов не полностью — только первые 8192 байта. После преобразования к имени файла добавляется расширение .checkmate, а в папке создается блокнотная запись !CHECKMATE_DECRYPTION_README.
За ключ дешифровки вымогатели взимают $15 тыс. в биткоинах, но итоговый размер выкупа, по их словам, зависит от количества зашифрованных файлов. Для связи (пробной расшифровки) жертве предоставляют ссылку на специально созданный Telegram-канал.
Об успехе новой ransomware-кампании можно судить по жалобам на форуме BleepingComputer. Одному из участников удалось расшифровать jpg-файлы, которые заблокировал Checkmate; к сожалению, этот способ работает далеко не во всех случаях.
В бюллетене QNAP приведены рекомендации по снижению рисков, связанных с новой угрозой:
- не выводить SMB-сервис в интернет;
- организовать доступ к NAS через VPN;
- отключить SMBv1;
- обновить QTS/QuTS до последней версии;
- усилить пароли ко всем NAS-аккаунтам;
- создать бэкап и регулярно выполнять резервное копирование.
С середины июня пользователям QNAP NAS досаждает также вернувшийся eCh0raix. Его собрат DeadBolt тоже засветился в вымогательских атаках, которые тайваньский производитель обещал разобрать и опубликовать результаты.
