勒索软件团伙利用威联通(QNAP)漏洞使用7zip存档程序对QNAP设备上的文件进行远程加密,仅用了5天的时间就赚了260,000美元。
从星期一开始,来自全球各地的QNAP NAS用户突然发现一种名为Qlocker的勒索软件利用漏洞将其设备上的文件进行了加密 。
勒索团伙扫描了连接到Internet的QNAP设备,并使用最近披露的漏洞对其进行了利用 。这些漏洞利用使威胁行为者可以远程执行7zip归档实用程序,并使用密码非法加密受害者NAS存储设备上的所有文件。
使用这种简单的方法,他们可以使用内置于7zip存档实用程序中的经过时间验证的加密算法,在短短五天内对一千多个QNAP设备进行加密。
赎金需求已正确定价
针对企业的勒索软件通常要求支付10万美元到5000万美元不等的赎金, 以解密受害者的所有设备,而不泄漏其被盗数据。
但是,Qlocker勒索团伙选择了一个不同的目标-使用QNAP NAS设备进行网络存储的消费者和中小型企业所有者。
勒索团伙似乎很了解自己的目标,在勒索团伙搭建的暗网网站http://gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion/上,他们只以0.01比特币或今天的比特币价格(约500美元)定价赎金要求。
决定支付数百万美元需要公司认真考虑丢失的数据是否价值数百万美元。
但是,支付500美元可以看作是恢复重要文件所付出的很小的代价,而且受害人也可能感觉不到受到了多大的侵犯。
Qlocker勒索团伙的决定似乎已经获得回报,因为急于恢复数据的人已经开始付款了,为勒索团伙赚取了可观的回报。
到目前为止,Qlocker的收入将近260,000美元
由于Qlocker勒索团伙使用了一组固定的比特币地址,受害者会轮流通过这些地址,周二晚上,安全研究员杰克·凯布尔(Jack Cable)发现了一个短暂的错误,使他可以免费恢复55个受害者的文件。在利用此漏洞的同时,他收集了10个不同的比特币地址,BleepingComputer也收集了另外10个地址,从而可以获知目前Qlocker勒索团伙使用的20个比特币地址。
截止目前,如下所示的20个比特币地址已收到总额为5.25735623比特币的赎金。这一数额大约相当于258 494美元。
| 比特币地址 | 比特币总付款 |
| 34vbPQLgGZwKG2FikitGU6QR7K25aB6Shh | 0.55216220 |
| 37m57HiP5rPceopgEWF9sM58CkzaDFYtaU | 0.14021317 |
| 3Ekwztte7oWR1odC1eKeL2Va4cpBuGXPgU | 0.09962125 |
| 3EPBKN3bcax81U3MdKYUhMC1fzFEFGPC6E | 0.10915462 |
| 3EvCKQ38y8ePUwM4w49XWVtAK7KhYbmeMH | 0.34801656 |
| 3FvLioiqF2TrQgZ9zRMdd7QUfc2hTjKZfL | 0.08951304 |
| 3FXVLv8TmcHNmnfwLfc5g7f2a32xp3XugW | 0.38088464 |
| 3G6fbWX6At9uRzKf6kwS6R6pn5EQ8UsxKY | 0.16983215 |
| 3GfAJxhUen3oqb4sDDnPmXyhs5mDboHbyG | 0.46134513 |
| 3JRdPjB8U3nfDqQHzTqw9yYra49Gsd8Rar | 0.40133268 |
| 3KmK5z4CAvn3aL4Q8F2gWbhuPRy9ZmEurN | 0.29910901 |
| 3Kywg92E877KUWmyaeeLNSXFc5bqBvFbAm | 0.48277236 |
| 3LLzycFNFh7mDsqRhfknfGBa6TKq6HcfwS | 0.31901320 |
| 3Lp1NkJHYsmFRBfM3ggoWsS1PF5hXxrwrD | 0.32386846 |
| 3PDfzkTnD1E7gB7peZ2prRyDxjQ1BhqcV1 | 0.14020000 |
| 3PunvFGpVWLX7PNAoT3bMDbPQU2QQW4kxN | 0.15954000 |
| 3Q8WmjQyFs1EKCdu415t2P9cxY7AbqorPd | 0.40031185 |
| 3EWRngsRDhCxMHtKxeK6k9kX3pyWZSA2YB | 0.13081244 |
| 3Gwz3yVmrGr5AqmUrAS8H2QQaPz2v9Rhpx | 0.15965435 |
| 3JtUAz4aKUrjcBK47ocdv52tTJkriat1nx | 0.08999912 |
如果我们将所赚取的比特币数量除以每位受害者需要支付的0.01BTC,那么到目前为止,大约有525名受害者已经支付了赎金。
不幸的是,随着用户做出付款恢复他们的文件的艰难决定,赎金不断涌现,因此这个数字很可能会在整个周末到下周增加。
勒索活动仍在进行中,每天都有新的受害者出现。因此,所有QNAP用户都必须更新多媒体控制台,媒体流附加组件和混合备份同步应用程序的最新版本,以修复漏洞并防御这些勒索软件攻击。