• 發布單位:TWCERT/CC
• 更新日期:2021-05-18
• 點閱次數:3235

台灣網路儲存裝置（NAS）製造商 QNAP，近期發布資安警訊，指出目前有一個稱為 eCh0raix 的勒贖軟體正在發動大規模攻擊，用戶應提高警覺。

全球知名的台灣網路儲存裝置（Network Attached Storage, NAS）製造商 QNAP，近期發布資安警訊，指出目前有一個稱為 eCh0raix 的勒贖軟體，正在發動大規模勒贖攻擊，用戶應提高警覺。

這個稱為 eCh0raix 的勒贖軟體，主要是攻擊 Roon Server 套件中的一個 0-day 漏洞；用戶如果在自己的 NAS 上安裝了 Roon Server 套件 2021-02-01 之前版本，就很可能遭到 eCh0raix 勒贖軟體攻擊。

eCh0raix 其實並不是全新出現的勒贖軟體，早在 2019 年 7 月時，趨勢科技便曾發出資安通報，揭露 eCh0raix 的存在與感染過程；不過當時的感染方式並非利用 Roon Server 套件，而是透過登入資訊暴力試誤法等較原始的攻擊方式；當時也有資安研究人員很快推出了解密工具。

QNAP 於資安通報中指出，由於 eCh0raix 主要攻擊 Roon Server 套件中的漏洞，因此建議用戶應立即從自己的 NAS 系統上移除或停止 Roon Server 的執行，同時依下列建議加強 QNAP NAS 的安全性：

• 如果仍需使用 Admin 帳號，應立即更改並使用強度足夠的密碼；
• 如果可以不使用 Admin 帳號，應先指定其他使用強式密碼的帳號擁有 admin 權限，然後刪除或停用 Admin 帳號；
• 設定 IP 連線安全性原則，短時間内重覆登入失敗的來源 IP，應自動列入黑名單，以阻絕暴力試誤登入攻擊；
• 避免開放連接埠 8080 與 443，將其改為其他隨機連接埠。