StorageCrypt 勒索软件利用 SambaCry 感染 NAS 设备

翻译：360代码卫士团队

最近一款新型勒索软件StorageCrypt 利用SambaCry 攻击NAS设备如西部数据My Cloud。受害者报告称自己的文件遭加密并且收到要求支付0.4至2比特币赎回文件。

用户还指出，他们的NAS设备的每个共享中都包含一个Autorun.inf文件以及一个Windows 可执行文件“美女与野兽.exe”。从样本来看，这个 Autorun.inf 试图将“美女与野兽.exe”文件传播到在NAS设备上打开文件夹的计算机中。

SambaCry 是一个Linux Samba 漏洞，如被利用则能让攻击者下载文件并在受影响设备上执行命令。当前感染 NAS 设备的方法跟此前用于传播密币挖机的Elf_Shellbind 变体方法一样。

目前，攻击者正在利用这个漏洞在计算机上安装 StorageCrypt 。虽然我们尚未得到该感染样本，但可以肯定的是如利用Samba，则会执行一个下载 sambacry文件的命令，并将它存储于名为 “apaceha” 的 /tmp 文件夹中并执行。

目前尚不知晓这个可执行文件是否是安装 StorageCrypt 的文件还是用作供后续访问的后门。

最终 StorageCrypt 会被安装而NAS上的所有文件都会加密。当文件被加密时，文件名称后缀会增加 .locked 扩展。这款勒索软件还会释放一则勒索信息 “_READ_ME_FOR_DECRYPT.txt”。该信息中包含勒索金额、接收勒索金的比特币地址以及供后续联系的邮件地址 JeanRenoAParis@protonmail.com。

如之前所述，感染也会将 Autorun.inf 和 “美女与野兽.exe” 文件增加到NAS设备上的每个文件夹中。这样做是为了感染其它打开这些受感染文件夹的计算机。

截至本文发稿时，勒索留言中的其中一个比特币地址已经收到1比特币。目前尚不知晓它是否是勒索金付款。目前正在分析 SambaCry 勒索软件，如有新信息会更新这篇文章。

由于 SambaCry 针对的是 Samba 协议中的漏洞，因此很重要的一点是不要直接将任何一台 NAS 设备联网。如果设备联网，虽然你能够引流并访问文件，但同时也增加了被利用风险。正确的做法是为NAS设置防火墙并配置 VPN 后访问网络，这样就能以安全的方式访问NAS设备以及存储文件。

IOCs

哈希：

网络通信：

hxxp://45.76.102.45/sambacry

Samba软件RCE漏洞存7年 数千台Linux计算机可遭远程访问

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。

原文链接：

https://www.bleepingcomputer.com/news/security/storagecrypt-ransomware-infecting-nas-devices-using-sambacry/