แรนซั่มแวร์สายพันธุ์ใหม่ที่เรียกชื่อกันว่า eCh0raix กำลังเล็งเหยื่อที่เป็นอุปกรณ์ QNAP Network Attached Storage (NAS) แบบที่ทำงานบนลีนุกซ์ โดยแรนซั่มแวร์จะพยายามเข้าติดเชื้อและเข้ารหัสไฟล์โดยใช้การเข้ารหัสแบบ AES
มัลแวร์นี้ถูกเขียนและแปลงโค้ดด้วยภาษาโปรแกรมมิ่งที่เรียกว่า Go ซึ่งใช้โค้ดเพียงแค่ 400 บรรทัด จึงทำให้ตรวจจับได้ยากมาก และเล็งกลุ่มเหยื่อเฉพาะที่เป็นเซิร์ฟเวอร์ QNAP NAS แบบลีนุกซ์ ซึ่ง QNAP เป็นบริษัทสัญชาติไต้หวันที่มีชื่อเสียงด้านเซิร์ฟเวอร์ NAS และตัวเล่นมีเดีย
โดยทั่วไปแล้ว เซิร์ฟเวอร์ NAS ถูกนำมาใช้เก็บข้อมูลและไฟล์ขนาดใหญ่ ซึ่งแรนซั่มแวร์ที่ชื่อ “QNAPCrypt” โดย Intezerและ “eCh0raix” โดย Anomali มีฟังก์ชั่นการทำงานที่คล้ายกับแรนซั่มแวร์ทั่วไป แต่ก็มีข้อแตกต่างบางอย่างที่สำคัญด้วย
เมื่อมัลแวร์นี้รันการทำงาน ก็จะเริ่มติดต่อกับเซิร์ฟเวอร์ควบคุมเพื่อแจ้งว่ากำลังเริ่มกระบวนการเข้ารหัสข้อมูล ซึ่งก่อนเข้ารหัสนั้นจะมีการร้องขอที่อยู่วอลเล็ต และข้อมูล Public RSA จากเซิร์ฟเวอร์ควบคุมด้วย เป็นการสื่อสารผ่านพร็อกซี่ SOCKS5 Tor ด้วยข้อมูลที่เข้ารหัสแบบ JSON
ที่มา : GBHacker
