Um vírus que opera como ransomware chamado NamPoHyu (ou MegaLocker) está atacando instalações desprotegidas do Samba pelo mundo inteiro. As pessoas que fazem os ataques desta vez estão buscando serviços Samba desprotegidos e remotamente criptografam o conteúdo desses servidores. Uma busca peita pelo Cisoadvisor no Shodan revela que só no Brasil existem 46.947 instalações desprotegidas. No mundo inteiro existem neste momento 523.487 instalações desprotegidas, muitas já atacadas. Os países com mais instalações Samba desprotegidas, pela ordem são Rússia, Brasil, Itália, EUA e Emirados Árabes.
[box type=”info” style=”rounded” border=”full”]O Samba é um pacote de software de código aberto que roda em plataformas baseadas em Unix / Linux, mas é capaz de se comunicar com clientes Windows como um aplicativo nativo do Windows. O Samba faz esse serviço empregando o CIFS (Common Internet File System). Na essência do CIFS está o protocolo SMB (Server Message Block). [/box]
Esse malware foi detectado pela primeira vez em Março deste ano, depois de usuários reclamarem que seus armazenamentos NAS foram repentinamente criptografados. Depois de concluir o processo de criptografia, o malware renomeia os arquivos com a extensão .crypted e cria uma nota de resgate num arquivo chamado DECRYPT_INSTRUCTION.TXT. O texto contém instruções para contato com alexshkipper @ mail [.] Ru. A nota pede à vítima em potencial que envie uma foto de aniversário, feriado, passatempos ou algum outro evento pessoal. Se a vítima for um usuário pessoa física, o valor do resgate será de US$ 250; para empresas o valor é de US$ 1000.