黑客勒索软件团伙利用 7-zip ，几天狂揽 26 万美元

一个勒索软件团伙通过使用 7-zip 压缩软件对 QNAP 设备上的文件进行远程加密，在短短 5 天时间内赚取了 26 万美元，该勒索软件被外界称为 Qlocker。

从2021年4月19日开始，世界各地的 QNAP NAS 用户突然发现他们存储的文件被加密了，并且当文件被锁定时，QNAP资源监控器会显示许多 "7z "进程，专家分析这是7zip的命令行可执行程序，攻击者通过使用7-zip将QNAP设备上的文件转移到有密码保护的档案中。

如果想要提取这些文件，受害者必须输入一个只有攻击者知道的密码，当QNAP设备被加密后，用户会收到一个txt赎金说明，其中包括一个独特的客户密钥，受害者不得不输入该密钥来登录赎金软件的Tor支付网站，来获得被封锁的文件。

赎金说明显示所有受害者都被告知要支付0.01比特币，约合557.74美元。

大多数勒索软件在他们的恶意软件上会投入了相当多的开发时间，以使其高效、功能丰富并具有强大的加密功能，但 Qlocker 完全不同，他甚至不需要创建自己的恶意软件程序。相反，他扫描了连接到互联网的 QNAP 设备，并利用最近披露的漏洞对其进行攻击。

这些漏洞使他们能够远程执行 7-zip 压缩软件，对受害者的 NAS 存储设备上的所有文件进行密码保护。利用这种简单的方法，他们在短短五天时间里利用 7-zip 压缩软件中经过时间考验的加密算法，对超过数千台设备进行了加密。

勒索软件通常以企业为目标，并勒索 10 万到 5000 万美元的赎金。然而，Qlocker 选择了一个不同的目标，他们针对利用 QNAP NAS 设备进行网络存储的消费者和中小型企业。

相比于几十万甚至上百万美金，557.74美元是一个小代价，这个价格更容易被接受。

不过天网恢恢疏而不漏，Qlocker 勒索软件使用了一套固定的比特币地址，受害者轮流使用这些地址，让收集这些地址并监控他们的付款成为了可能。

研究人员共收集到了 20 个收款的比特币地址，通过监控发现这些地址已经收到了共计 5.26 个比特币赎金，这一数额约为 26 万美金。按照每人支付 0.01 比特币计算，目前已有 526 名受害者支付了赎金用于资料解密。

这个勒索软件的活动仍在进行中，每天都有新的受害者出现，为了防止这些勒索软件攻击，建议所有 QNAP 用户将多媒体控制台、媒体串流插件和混合备份同步应用程序都更新至最新版本。

参考内容：

https://www.bleepingcomputer.com/news/security/a-ransomware-gang-made-260-000-in-5-days-using-the-7zip-utility/