SambaCry: StorageCrypt Ransomware zielt auf NAS

Publiziert am 8. Dezember 2017 von Günter Born

Es gibt scheinbar eine neue (chinesische) Ransomware mit dem Namen StorageCrypt. Diese zielt auf NAS-Laufwerke mit Linux-Firmware, in denen die SambaCry-Sicherheitslücke noch nicht gefixt wurde.

Anzeige

Ende November 2017 gab es im Forum von Bleeping Computer einen neuen Thread, in dem ein Benutzer beklagt, dass sein Thecus 7710G NAS per Ransomware angegriffen und verschlüsselt wurde. Er schrieb:

We use a Thecus 7710G NAS which was attacked and encrypted. The tool on the ID Ransomware site was not able to determine the type of ransomeware.

Here is the case on the ID Ransomware site: SHA1: 7d1cff7dea5ee8f5a5016381e962766b52c59aef

Alle auf dem NAS verschlüsselten Dateien wiesen die Erweiterung .locked auf und in jedem Verzeichnis des NAS-Laufwerks fand sich eine Textdatei mit dem Dateinamen _READ_ME_FOR_DECRYPT.txt. Deren Inhalt ist nachfolgend zu finden:

Warning
Your documents,photos,databases,important files have been encrypted by RSA-4096 and AES-256!

    If you modify any file, it may cause make you cannot decrypt!!!
    You have to pay for decryption in bitcoin
    Before paying you can send to us up to 2 files for free decryption
    and it can also prove that we have ability to decrypt.
    Please note that files must NOT contain valuable information
    and their total size must be less than 2Mb

How to decrypt your files  ?
        To decrypt your files,please following the steps below
        1,Pay 0.4 bitcoin  to this address: ….
  Wer ein NSA-Laufwerk mit Samba

Ein weiterer Benutzer berichtet, dass sein WD MyCloud ebenfalls Wochen vorher 'gehackt' wurde. Es haben sich weitere Betroffene (auch französisch sprechende Nutzer) im Thread gemeldet.

Kurze Analyse

Lawrence Abrams hat diesen Beitrag zum Thema veröffentlicht. Die Leute haben sich offenbar eine chinesische Ransomware 美女与野兽.exe eingefangen (übersetzt lautet der Dateiname 'Die Schöne und das Biest'). Die betroffenen Benutzer berichten, dass auf jeder Freigabe des NAS-Laufwerks eine Autorun.inf vorliegt, in der die obige Windows .exe-Datei abgelegt ist. Für der Windows-Client die Autorun.inf der Freigabe aus, wird die Malware auch dort aktiv.

Eine Analyse bei Bleeping Computer ergab, dass die Ransomware wohl die schon ältere SambaCry-Sicherheitslücke zur Verbreitung nutzt (hatte ich kurz im Blog-Beitrag Cyber-Sicherheit (28. August 2017) erwähnt). Weitere Details sind in diesen Beitrag nachzulesen.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.