11:41
24/4/2021

Od środy otrzymujemy zgłoszenia o tym, że posiadacze NAS-ów marki QNAP tracą dostęp do swoich danych. Winny jest QLOCKER, czyli internetowy robak, który szyfruje pliki i domaga się okupu.

Qlocker – atak na NAS QNAP

Qlocker sprawia, że niektóre pliki na NAS-ie stają się archiwami 7zip (rozszerzenie 7z), a dodatkowo pojawia się plik o nazwie !!!READ_ME.txt o następującej treści:

!!! All your files have been encrypted !!!
All your files were encrypted using a private and unique key generated for the computer. This key is stored in our server and the only way to receive your key and decrypt your files is making a Bitcoin payment.
To purchase your key and decrypt your files, please follow these steps:
1. Dowload the Tor Browser at “https://www.torproject.org/”. If you need help, please Google for “access onion page”.
2. Visit the following pages with the Tor Browser:
gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion
3. Enter your Client Key:

Od ofiar wymagana jest opłata 0.01 bitcoina (którego cena akurat nurkuje, więc trwa promocja!) czyli 2000 PLN. Strona działa i przestępcy przekazują poprawne klucze. Jeśli więc ktoś nie ma kopii bezpieczeństwa a zaszyfrowane dane są dla niego warte więcej niż 2000 PLN to …gratulujemy być może pierwszej w życiu transakcji bitcoinowej, jakiej zaraz dokona!

Co ciekawe, w pierwszej wersji strony, jak informuje BleepingComputer znajdował się błąd i na podstawie ID transakcji jednej ofiary można było pozyskać klucz innych ofiar, ale przestępcy naprawili błąd.

Czy tych ataków można było uniknąć?

Specjalistów od bezpieczeństwa przyglądających się sprawie bulwersuje to, że Qlocker dostaje się na urządzenia poprzez dziurę, którą niezależni badacze zgłaszali QNAP-owi jeszcze w listopadzie 2020 roku. Ale producent dziurę załatał dopiero 16 kwietnia 2021 roku i to po tym, jak badacze nie wytrzymali i ujawnili publicznie informacje o błędzie

Najwcześniejszy sygnał o ataku mamy z 20 kwietnia, więc najwyraźniej tylko 3 dni zajęło atakującym “zreversowanie” patcha. To pokazuje, że szybkie wgrywanie poprawek bezpieczeństwa na urządzenia podpięte bezpośrednio do internetu to bardzo istotna kwestia. Podobnie jak odpowiedni hardening NAS-a. Nie zawsze jest potrzeba aby akurat ten moduł, który wykorzystano do włamania, był dostępny od strony internetu. Warto więc ograniczyć powierzchnię ataku i schować część usług NAS-ów za firewallem lub całkowicie je wyłączyć, jeśli z nich nie korzystamy.

Moja firma została zaszfyrowana! Co robić, jak żyć?

Jeśli zaszyfrowane dane są dla Ciebie istotne i nie masz backupu — pozostaje Ci zapłacić. Hasła są długie i ich łamanie póki co nie jest sensowną opcją. Jeśli zależy Ci na odzyskaniu tylko jednego pliku, możesz spróbować odzyskać dane narzędziami do forensica/filecarvingu, o ile nie zostały nadpisane. A jeśli zaszyfrowane dane nie są dla Ciebie istotne, to po prostu przywróć urządzenie do ustawień fabrycznych, zaktualizuj do najnowszej wersji i rozpocznij swoją przygodę z NAS-em na nowo.

W obu przypadkach wykonaj też kopie bezpieczeństwa na przyszłość i zastanów się, czy dane do których dostęp miało złośliwe oprogramowanie nie zawierały danych osobowych klientów, kontrahentów lub pracowników.

Bo jeśli takie dane wyciekły, to musisz jeszcze zgłosić incydent do PUODO i masz na to 72 godziny od momentu wykrycia zdarzenia.

Tak… obsługa incydentu dotyczącego ataku ransomwarem to nigdy nie jest prosta sprawa. Temu tematowi poświęciliśmy dwugodzinny webinar “Zhackowali mnie, co teraz?“, który zawiera szereg praktycznych porad, zarówno dla zespołu IT (co robić po ataku? Jak nie dopuścić do kolejnego?) jak i dla prawników i Zarządu — właśnie ze względu na wspomniany wcześniej obowiązek zgłoszenia incydentu do PUODO.

Ze względu na skalę ataku Qlockera, do końca weekendu nagranie tego webinara możecie zobaczyć dokładnie w tej samej cenie, w jakiej od zawsze jest. To i tak jest ułamek kwoty, jaką kosztują konsultacje w tym zakresie i promil kosztu, który ponieślibyście szukając tej wiedzy na własną rękę. Proponowane przez nas zabezpieczenia techniczne i procesowe warto wdrożyć — prędzej czy później się przydadzą. Niestety, zazwyczaj jest to raczej prędzej niż później…


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

121 komentarzy

Dodaj komentarz
  1. A ja mam głupie pytanie: po co podpinać NAS w taki sposób że jest widoczny z internetu?

    • Krzysztof – niektórzy robią chmurę podobną do Dropbox ;-)

    • Jako prywatna chmura

    • Dokładnie po to, po co ludzie podpinają wszystko do sieci – dla wygody :-) Tu dostęp zdalny, tu zrobię backupik i wrzucę do NASa w domu, a NAS ma funkcję VPN więc czemu by nie skorzystać, i nawet CMS jest itd. Oczywiście zawsze jest bilans wygodabezpieczeństwo. Ale rzeczywiście – wystawianie NAS na świat to zazwyczaj nienajlepszy pomysł…

    • Faktycznie głupie pytanie.

    • Pech chciał że po przeprowadzce router orange miał włączony UPNP … i NAS sam się wystawił na świat .. niestety ale zaszyfrowali mi 200GB dancyh :/ … część udało się odzyskać przez TestDiska .. reszta leży i czeka, może ktoś znajdzie klucz :/
      Złapałem NAS podczas szyfrowania, logika podpowiedziała mi wyłączyć urządzenie żeby ograniczyć szkody .. ale to była zła decyzja :(

  2. Info od QNAP.
    W ciągu ostatniej doby pojawiły się ataki typu malware na urządzenia QNAP, które prowadzą do zaszyfrowania plików do archiwum 7z. Za klucz deszyfrujący atakujący żądają okupu. Wykorzystywana jest podatność, która została załatana wcześniej i te urządzenia, które miały wgrane wszystkei ostantie aktualizacje, są bezpieczne.
    Szczegóły:
    https://www.qnap.com/zh-tw/security-advisory/qsa-21-11

    Poniżej rozwiązanie, które umożliwia odzyskanie danych w przypadku trwającego szyfrowania. Prosimy, abyście podzielili się tym rozwiązaniem z klientami, którzy zostali zaatakowani przez taki malware. Dzięki analizie procesu szyfrującego udało się zweryfikować sposób działania oraz możliwe jest odczytanie klucza szyfrującego. Jednak
    Kluczowe jest nie restartowanie NAS!!!!

    1. NIE RESTARTUJ NAS
    2. Połącz się z urządzeniem przez SSH
    3. Wykonaj poniższe polecenie żeby sprawdzić, czy trwa szyfrowanie:
    ps | grep 7z
    4. Jeśli 7z działa, wykonaj komendę:
    cd /usr/local/sbin; printf ‘#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000’ > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
    5. Poczekaj kilka minut i przy użyciu „cat” odczytaj klucz szyfrujący:
    cat /mnt/HDA_ROOT/7z.log
    Szukany wpis wygląda podobnie do:
    a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [FOLDER PATH]
    mFyBIvp55M46kSxxxxxYv4EIhx7rlTD To klucz do odszyfrowania plików – uwaga, dla każdego NAS może być inny
    6. Zrestartuj NAS i przy użyciu klucza mFyBIvp55M46kSxxxxxYv4EIhx7rlTD Odszyfruj pliki.

    • No tylko, że to zadziała w przypadku _trwającego_ szyfrowania, a fala szyfrowania była w czwartek. Dziś (i w przyszłym tygodniu) o efektach dowiedzą się ci, którzy rzadziej zaglądają na swoje udziały sieciowe obsługiwane przez QNAP-a.

    • a skad bedę wiedział że 7zip działa? jak to rozpoznam?

  3. Hmm… Synology szYbciej łata, czy w ogóle jest szczelniejsze?

    • Jakiś czas temu robiłem mini research na ten temat i wychodziło na to, że Synology porzuca swoje urządzenia zatrważająco szybko, a właśnie Qnap jest najlepszy w kategorii długoterminowego wsparcia i sprawności łatania.
      Jak jest dziś – nie wiem.

    • Synology sie poprawilo. Mam NASa z 2010 roku i ciagle jest latany. Mieli przypadek Synolocker, ale ludzie ktorzy mieli problem to najczesciej Ci co wiedzieli lepiej i nie instalowali latek.

    • Okazuje się, że QNAP siedział na luce od paru miesięcy i generanie mieli to gdzieś.

  4. Ransomware w części przypadków tylko kompresował pliki bez ich szyfrowania.

  5. NAS nasem, ale podstawą jest zawsze offline backup.
    Jak ktoś się jeszcze tego nie nauczył, to się nauczy.

  6. Jeśli macie pusty log a proces ciągle trwa proponuje ubicie procesów ‘killall 7z’ wtedy coś pojawi się w logach.

  7. donosic do puodo? niech sobie tą bajeczkę śnią legalistyczni wariaci od danych osobowych, nie mam prawa donosić na siebie w żadnej kwestii ani mówić niczego co by mogło mi zaszkodzić, no narazie

    • Czytaj ze zrozumieniem “… i zastanów się, czy dane do których dostęp miało złośliwe oprogramowanie nie zawierały danych osobowych klientów, kontrahentów lub pracowników…” więc jeśli tam były tylko twoje dane to możesz mieć to w doopie a nie zgłaszać.

    • Widzę, że nie masz zbyt wielkiego pojęcia o przepisach i zasadach funkcjonowania PUODO. Jeśli złożysz samodonos i będziesz współpracował z organem to prawdopodobnie skończy się na “uważaj na przyszłość”. Jak będziesz ukrywał informacje, a kiedyś ona gdzieś wycieknie to może Cię to bardzo zaboleć. Oprócz świadomości bezpieczeństwa informacji polecałbym jeszcze elementarną świadomość compliance.

    • więc lepiej być debilem do kwadratu i zapłacić z milion kary (plus ewentualne odszkodowania) niż przyznać się do błędu i pracować nad jego rozwiązaniem….gratuluję – dalej niż operator łopaty to nie zajdziesz

    • @Stereo humorystyka. Ty autentycznie bys raportowal takie rzeczy do urzedu? Zasada w biznesie: jak najdalej od tzw “panstwa prawa” i tej calej bandy urzednikow. Trzeba miec mentalnosc dziekca, aby o tym nie wiedziec. W biznesie idzie sie w zaparte, a nie wystawia tylek na kopa.

  8. Czy są już jakieś informacje jak usunąć ten malware?

    • Tego malware się nie usuwa, on polega na tym że zdalnie są wykonywane polecenia na twoim serwerze. Abolunty brak śladów :(

  9. Odtwarzając backup wrzuciłem na NASa plugin do TotalCmd, ależ mi ciśnienie skoczyło jak zobaczyłem plugina z rozszerzeniem .7z :)

  10. U mnie od kilku dni pojawiała się seria prób logowania (pula około 50 IP) i coś próbowało się zalogować. Mam włączone 2FA, ale mimo wszystko podniosłem zasady bezpieczeństwa. Oprogramowanie najnowsze. Malware remover nic nie widzi.
    Można się jakoś dodatkowo bronić przed tymi atakami?

    • Jeśli nie dajesz tego klientom itd to ja polecam wstawienie za cloudflare + wymaganie capthy za każdym razem, mi do 0 właściwie zeszły wszystkie próby logowania

  11. Ale przez jaki port (usługę?) następuje włam i szyfrowanie? Na jednym qnapie mam wyłączony Qnap link, odkryty na świat jest FTP i Qphoto. Na drugim mam włączony Qlink FTP, Qphoto, VPN z pierwszym Q i sync z Onedrive. Reszta usług nie jest używana i jest nieaktywna. Entropia haseł, ok. 120 bitów. Trzeci Qnap jest stary jak świat (ts-110) i tam prócz aktualizacji systemu, nie ma takich pakietów jak HBS3. Czy w tym przypadku też można paść ofiarą ataku?

    • Jest link w artykule: https://www.qnap.com/de-de/security-advisory/qsa-21-11

    • Dzięki, ale nie ma tam informacji gdzie znajduje się granica, po której można potencjalnie znaleźć się w gronie ofiar. Czy wystarczy obecność samej apki w systemie – bez względu na to czy Qnap jest w sieci LAN z odpalonymi wszystkimi usługami i przekierowanymi portami, czy hermetycznie zamknięty, bez przekierowań na świat.

  12. Po co płacić za QNAPa jak można ze zwykłej stacjonarki zrobić coś bardziej funkcjonalnego, szybszego i tańszego?

    • Bo zwykłej stacjonarki nie postawię w salonie, a qnap stoi.

    • Nie, nie można zrobić nic tańszego jeżeli uwzględnisz całość kosztów,
      NAS to przede wszystkim energooszczędna obudowa dysków z dodatkowym softem, czyli coś co przy pracy 24/7 nie spowoduje wywindowania rachunku za prąd do poziomu małego zakładu produkcyjnego spawającego przęsła mostowe…
      Szybszego… pewnie się da, choć wbrew pozorom NASy nie są specjalnie drogie jeżeli porównamy je z alternatywami (plus to co napisałem powyżej) a jak uwzględnimy hałas to sorry: albo wygłuszona serwerownia albo chłodzenie wodne które samo w sobie kosztuje tyle co NAS …

      Także, alteranatywa w stylu: kompletuję graty które mam, buduję NAS, zobaczę o co w tym chodzi -jak najbardziej tak (polecam projekt XPenology), ale jeżeli NAS okaże się przydatny to i tak skończy się na zakupie dedykowanego hardware.

      Odnośnie artykułu – nie do końca ufam chmurom producenckim.
      Dostawcy dużych Cloud’ów wydają na bezpieczeństwo dużo więcej niż wartość firm produkujących sprzęty uchmurnione a i oni nie ustrzegają się błędów.
      Więc NAS ok ale jako rozwiązanie lokalne, chcesz mieć dostęp do danych: dedykowana Chmura, Chcesz mieć dostęp do NAS – lokalnie albo przez VPNa.

    • Bo nie ma takiej opcji aby stacjonarne pudło na 4HDD stało sobie w media półce obok mojego kina domowego i nie wyróżniało się zbytnio od otoczenia, pobierając przy tym śladowe ilości prądu. Nie każdy ma piwnicę na PC-NAS’a.

    • dziecko nie ma zielonego pojęcia o czym mówi – już się takich matołów nasłuchałem i tylko kasę wtopiłem…najpierw nic nie warty szrot na raspberry a potem kolejne dziadostwo na HP microserver….obydwa rozwiązania do pięt nie dorastają nawet prostemu zyxelowi nie mówiąc o tym że finalnie wychodzą znacznie drożej plus strata masakrycznej ilości czasu na konfigurowanie dziadostwa

    • Istnieją lepsze rozwiązania niż XPenology.
      A kto powiedział, że musi działać 24/7?
      Faktycznie, stara stacjonarka to olbrzymi koszt.
      No cóż, jak komputer w salonie zaburza czyjeś feng-shui, ale NAS już nie to nie ma rady ;)

    • buuuuuuu190 jesteś w stanie wymienić te lepsze rozwiązania niż xpenology? Tylko z freenas nie wyskakuj bo to niesamowite dziadostwo i już wolałbym z windowsa skorzystać…
      Tu nie chodzi o fengshui tylko po pierwsze wygoda i prostota konfiguracji i obsługi, cisza i niskie zużycie energii. O zaoszczędzeniu miejsca nawet nie wspominam. Poza tym pecet przy większej ilości dysków wpada całą buda w wibracje i nawet resorowanie dysków nie pomoże.
      Na koszta patrz całościowo – i tak stara stacjonarka też może być kosztowna a do tego może nie być tak wydajna nawet w stosunku do dwurdzeniowego celerona z qnap. Ludzie nie mają czasu na pierdzielenie się ze starym złomem i konfiguracją – nigdzie!!! czy to w domu czy w firmie – czas to pieniądz pamiętaj. Tu dostajemy bardzo dobre wygodne rozwiązanie all in one…tylko cholera te dziury w sofcie

    • @sdf
      Jeżeli wolisz Windowsa od Freenasa to chyba nie ogarniasz tematu.
      Już przez samo to, że FreeNAS ma ZFS, a nie jakieś NTFS freeNAS wygrywa zdecydowanie.

      Qnap jest fajny, ale jeżeli ma być jako backup, a nie tylko zasób sieciowy to też te wersje z ZFS.
      Tak czy siak, offline backup jakiś być powinien.

    • Tańszego niekoniecznie, ale bardziej funkcjonalnego i zabezpieczonego na pewno. A lamerzy niech sobie kupują eleganckie pudełka z ładnym logo do salonu skoro ich to jara.

  13. Czy kopie migawkowe mogą tu pomóc?

    • Tak, malware pakuje pliki do oddzielnych plików zip i kasuje oryginały, więc wystarczy przywrócić skasowane pliki z migawki i skasować zipy.

    • Nie, atakujący mają pełny dostęp do urządzenia. W pierwszej kolejności kasują migawki.

  14. Czy kopie migawkowe mogą takim przypadku pomóc odzyskać dane?

    • Tak, jeśli eksportujesz kopie migawkowe na zewnętrzny nośnik co jakiś czas.
      Jeśli qlocker szyfruje migawki to tylko taki kopia j/w jest ratunkiem.

    • To prawdopodobnie zależy od tego, jak dużo masz wolnego miejsca przeznaczonego na migawki. Jeśli modyfikowany jest plik na wolumenie, to mechanizm migawek powoduje zachowanie jego poprzedniej wersji, więc później można ją odzyskać. Problem robi się wtedy, kiedy jakiś malware nagle zmodyfikuje ci wszystkie pliki na NAS. To oznacza, że aby zachować (i móc później odzyskać) ich poprzednie wersje, potrzebujesz w przybliżeniu drugie tyle miejsca na dysku na migawki.

    • Migawki były usuwane przy ataku

  15. Użytkownicy Synology wspierają duchowo użytkowników Qnap’ów :)

  16. Idzie jakoś łatwo sprawdzić czy QNAP jest widoczny z internetu?

    • Shodan?

  17. Nie jestem pewny czy rozwiązanie jest prawdziwe bo nie mam takiego zaszyfrowanego NASa, ale wyświetliło mi się na głównej: https://www.youtube.com/watch?v=aq_cIdY_ksQ
    Może warto wspomnieć?

  18. Niestety w moim przypadku kopie migawkowe nie sprawdziły się. Również zostały zaszyfrowane. Przy próbie przeglądania migawek wyskakiwał komunikat że brak plików i folderów.

    • Przeszukaj dobrze kosze, ja w nich dużo swoich plików znalazłem.

    • A skąd niby miałyby się pliki znaleźć w koszach skoro skrypt nic nie kasował tylko hasłował? Plik źródłowy nie zostaje

  19. Kopie migawkowe nie pomogą, bo QLOCKER w pierwszej kolejności je kasuje. QNAP naprawdę dał ciała, bo wejście było na 99% przez furtkę w aplikacji HBS3 (hardcoded credentials!). Jeśli tylko NAS był widoczny z zewnątrz, to żadne trudne hasła i 2FA nie miały znaczenia.

    Płacąc okup w BTC można uzyskać hasło do zaszyfrowanych plików. Jednak UWAGA! Tu też można zostać oszukanym. Do wykupu hasła trzeba podać ID transakcji. Portfele są publiczne, więc każdy może podejrzeć i być szybszym – użyć czyjejś transakcji, do wykupu swojego hasła. Atakujący zapisują sobie użyte TxID i można użyć go tylko raz. Kolejna osoba zobaczy odmowę i informacje o duplikacie.

    • “the vulnerability allows remote attackers to log in to a device with the hard-coded credentials”
      na jakim porcie musiałby być wystawiony na zewnątrz żeby być podatny?

  20. Czy ktoś wie w jaki sposób atakujący mogli się dostać do tych urządzeń. W moim przypadku NAS był wystawiony za NAT i nie był dostępny z zewnątrz. Zwykle dostawałem się do niego przez VPN skonfigurowany na routerze (RT-AX88U). Myślałem, o tym że może atak poszedł z zainfekowanej maszyny z windowsem ale wtedy przecież komputery były by też zaszyfrowane. Nie korzystałem z Qnap clound i Qsync więc jestem bardzo zaniepokojony jak to się stało i nie mam zaufania na przyszłość. Czy jest coś co mogę posprawdzać w konfiguracji sieci co mogło być furtką?

    • Zapewne włączone UPnP w QNAP (wykrywanie usług) i na Routerze (W ASUS w sekcji WAN) więc QNAP po cichu zrobił sobie na routerze port-forward i był dostępny bezpośrednio z internetu.

    • Zapewne w standardzie RT-AX88U ma włączone na zakładce WAN UPnP, a QNAP w sekcji “Wykrywanie usług” również włączone UPnP dzięki czemu NAS sam sobie kreuje reguły przekierowania portów i jest dostępny z internetu. Ja takie wynalazki jak UPnP wyłączam – wolę wiedzieć co gdzie jest przekierowane.

    • Zapowiada się upojny weekend na dokształcaniu :)
      Ja mam wprawdzie WD Ex2 Ultra i właściwie wszystko co możliwe wyłączone ale UPnP nigdzie nie widzę ani w WD ani na routerze. Jak żyć?

    • Niedawno kupiłem ten route i nie miałem czasu go konfigurować. Faktycznie UPnP włączone domyślnie – nie ma to jak “dobre” ustawienia domyślne. Chyba pora na remanent bezpieczeństwa.

  21. Miałem najnowsze aktualizacje, zmienione wszystkie porty na niestandardowe, powyłączane większość zbędnych usług, a i tak 23.04 w nocy zaszyfrowało mi prawie wszystkie dane! Zauważyłem że szyfrowane są pliki do 20 MB. Jedyne co mnie uratowało to kopie które wykonywane są każdego dnia. Ostatnia była kilka godzin przed atakiem. Uważam, że to porażka QNAPA, ponieważ podobno dziury w oprogramowaniu były zgłaszane już w listopadzie 2020 roku!. Sporo info na temat tego ataku jest tutaj + dyskusja pod artykułem.
    https://www.bleepingcomputer.com/news/security/massive-qlocker-ransomware-attack-uses-7zip-to-encrypt-qnap-devices/

  22. Mnie dopadło……, nie płaciłem, miałem backup USB podpięty pod NASa i na niego nie wlazło (może dlatego że żaden user/admin nie miał do niego praw nawet odczytu), odzyskałem 99,99% dokumentów/ zdjęć itp itd.

    • Może dlatego że to był dysk zewnętrzny? Prawa odczytu/zapisu nie miały tu najmniejszego znaczenia ani nawet wyłączone konto admin…

  23. No to mnie nastraszyliście. Wyjąłem wtyczkę kabla sieci z gniazda RJ45 w moim QNAPIE… najlepszy firewall. włożę ją z powrotem jak będę robił zrzut wszystkiego na dysk zewnętrzny odpinając przy tym całą sieć domową od Internetu, też fizycznie. A potem będę się bawił w ustawienia firewalli, portów itp.

  24. Mam plik z żądaniem okupu ale tylko w defaultowym katalogu Download. Inne katalogi czyste i dane dostępne. Może dlatego że konto admin mam wyłączone a całą reszta katalogów ma admina o innym loginie?
    Wrócę do domu to zobaczę czy procesy szyfrujące nadal działają bo przecież nie będę ssh na świat wystawiał :-)
    Ech ten Qnap – jak nie jakiś syf włażący przez music center (nic nie narobił ale namieszał z pobieraniem aktualizacji to teraz to…
    Kurde internet powoli jak polskie drogi – co chwila jakaś katastrofa

    • A jednak są też inne. Faktycznie wszystko poniżej 20 mega szyfruje. Mam masę mp3 i flac także proces jeszcze w toku :-) od paru dni. Gorzej jak trafi na katalog z czcionkami czy samplami gdzie są tego miliony a wszystko poniżej pół megabajta hehhe. Nie prędko zakończy. W sam raz w domu sprawdzę ten sposób z ssh

  25. Mój jest odłączony od września 2020 – miałem go jako serwer w firmie i od tamtego czasu, jak firma poległa, nie podłączałem sprzętu. A więc nie ma aktualnych updatów producenta – czy podłączenie go teraz i zaktualizowanie nie jest ryzykowne?

    • Zrób migawkę, zgraj ją na USB, odłącz USB, podłącz RJ45, zaktualizuj. Jak ci zaszyfruje to migawką cofniesz.

    • Zanim podłączysz zrób sobie backup na jakiś dysk zewnętrzny. Wtedy będziesz mógł ze spokojem ducha zaktualizować :)

    • Ściągnij firmware i zaktualizuj ręcznie a dopiero potem go podłącz do sieci

    • Dzięki! :)

  26. Witam nawet po wgraniu aktualizacji hbs+ malware remover w w piątek, dostałem dzisiaj taką informację “Severity: Warning
    Date/Time: 2021/04/26 12:06:53

    App Name: Malware Remover
    Category: Malware Removal
    Message: [Malware Remover] Removed vulnerable files or folders. Malware ID: MR2102
    na szczęście w procesach nie pokazał się 7zip wygląda na to że mi się upiekło

    • Dokładnie ten sam komunikat dostałem z Malware Remover.
      Dane są ok i brak w/w procesu. Najgorsze, że nie mogę nigdzie znaleźć info jak sprawdzić co takiego było usunięte…

    • Pliki lepiej sprawdź. U mnie cały czas szyfruje a w procesach w panelu zarządzania QNAP brak procesu 7z… Pewnie pod ps- ef będzie jak się dobiję do sprzętu

    • @Rafał – nie ma najmniejszego śladu w systemie że coś się działo. nic a nic w żadnych logach. Ani że ktoś się zalogował ani że ktoś miał dostęp do plików – straszne to.
      I co komu po wyłączonym koncie admina i ograniczeniu dostępu do plików?

    • https://www.reddit.com/r/qnap/comments/mytv98/interesting_qlocker_issue/gvy8u64/?utm_source=reddit&utm_medium=web2x&context=3

      Wygląda na to, że QNAP nie potrafi nawet komunikatu porządnego przygotować o załataniu potencjalnych dziur.

  27. Hej,
    czy toś już zapłącił i odzyskał dane?
    Ja niestety migawki mam puste :-( I nie mam skąd odzyskać, a załątwił mi większość materiałów.

    • zaplacilem dzis rano i odzyskalem haslo, ale z tego co czytalme to jest szansa, ze ktos ci podbierze hash jesli nie bedziesz wystarczająco szybki

  28. Wiecie co mnie najbardziej wkur…ło? KONTO ADMIN MAM DO CHOLERY WYŁACZONE!!!!!!!
    I nie ma uprawnień do żadnego z moich katalogów. więc jakim cudem na jego prawach ktokolwiek się dostał i hasłował pliki?
    QNAP powinien każdemu zapłacić za klucz deszyfrujący – nie widzę tego inaczej

    • Atakujący dostawał się na urządzenie poprzez zakodowane na sztywno poświadczenia, niezależne od haseł użytkowników/adminów. Coś co NAS miał od nowości i zawsze takie same. Dodatkowo dzięki domyślnie aktywnemu UPNP NAS był w stanie zmusić router do otwarcia dla niego portu na świat. Wygląda na to, że exploit został opracowany na podstawie poprawki wydanej do załatania błędu. Osobiście jestem przeciw publicznemu ogłaszaniu wykrytych podatności, nawet jeżeli producent się spóźnia z wydaniem łatki. Gdyby nie to publiczne obwieszczenie całemu światu o podatności, poprawka być może do tej pory by nie powstała, ale pies z kulawą nogą by wiedział o tej podatności, a tym bardziej jak ją wykorzystać w praktyce.

  29. Czy aktualizacja aplikacji i samego systemu QNAPa rozwiązuje problem?

    • Nie wiadomo tym bardziej że aktualizacje i łatanie dziur odbyło się grubo po ataku…

  30. Wina producenta jest bezsprzeczna, ale traktowanie pojedynczego NASa jako backup też nie jest rozsądne.
    Wystarczy jakieś zwarcie/zalanie/pożar/złodziej/malware i już “backup” jest niedostępny.
    NAS jest fajny jako urządzenie do dzielenia się danymi z innymi urządzeniami, albo agregacji danych do backupu z różnych urządzeń.
    Wtedy backupuje się tylko z jednego NASa, a nie np 10 komuterów i 10 telefonów.

    Do małych firm i domów najlepszym rozwiązaniem BACKUPU są dalej ZEWNĘTRZNE DYSKI podłączane co jakiś czas żeby grać na nie dane lub backup do różnych chmur.

    Nie wszystko się też da prosto zautomatyzować, np maile można sobie automatycznie pobrać na dysk przez IMAP i automatycznie wysłać do chmury, ale wystarczy, że dostawca coś zmieni w sposobie pobierania – jak to gmail robił – i już pobiorą się śmieci.

    Niestety, ale jeżeli dane są ważne to trzeba część rzeczy sprawdzić i zrobić ręcznie, bo inaczej problem może się pokazać podczas próby odtworzenia backupu.

    • “Nie wszystko się też da prosto zautomatyzować” – akurat u nas bardzo dobrze sprawdza się rozwiązanie, że maluchy typu Rpi zdalnie załączają i rozłączają urządzenia. Może to nie jest “prosto” :)

    • No spoko, połączą się i pobiorą dane.
      Tylko teraz co jeżeli te dane będą już np zaszyfrowane?
      Jeżeli nie wyłapiesz tego, że dane są uszkodzone zanim rolling backup je nadpisze, to przy próbie ich odzyskania się zdziwisz.

      Backup to jest więcej roboty niż tylko przekopiowanie danych.
      Jeżeli ktoś tych danych ręcznie nie przejrzy to nie ma pewności, czy się do czegoś nadadzą.
      Tak jak pisałem na przykładzie maili.
      Wystarczyło, że google zmienił troszkę kodowanie i skrypt pobrał maile-krzaki.
      Pobieranie poszło zdaniem skryptu pomyślnie.
      Sumy kontrolne po kopiowaniu się zgadzały, ale jednak efekt końcowy był słaby.
      Nawet jak napiszesz tonę skryptów sprawdzających dane pod kontem wystąpienia jakiejś znanej anomalii, to zawsze może wystąpić jakaś której nie przewidziałeś.

      Sprawdzałeś kiedyś czy jesteś w stanie odtworzyć backup?
      Gitlab nie tak dawno miał problem, bo miał backupy, ale nie sprawdził czy da radę odtworzyć, a kiedy trzeba było, to się nagle okazało, że się nie da.

    • Nie tylko dla małych firm i domów. Backup klasy enterprise też często opiera się na dyskach wymiennych w formacie RDX. To znacznie szybsze rozwiązanie aniżeli taśmy LTO.
      Najważniejsze w tym wszystkim to mieć kilka kopii a nie jedną. Nawet gdy ta dodatkowa kopia nie jest w pełni aktualna to dzięki temu jednak znacznie ograniczymy straty. Tym bardziej że dyski przenośne na USB są naprawdę tanie (znacznie tańsze niż taki sam dysk kupiony luzem gdzie przy wielkości 6TB różnica potrafi dojść do 200 pln – śmieszne)

    • “zanim rolling backup je nadpisze”. Nic nie nadpisze. Tzn owszem backup jest różnicowy przez ZFS. Jeśli nagle wszystkie pliki będą się różnić od poprzednich (bo zaszyfrowane), to powstanie nowy snapshot, ale stary będzie wciąż dostępny. Na kompach z backupem jest dużo więcej miejsca niż na backupowanych i mieszczą się ze 4 pełne kopie wszystkich danych.
      Natomiast jest szansa, że jakieś tam straty będą, bo “codzienne” backupy są w pewnym momencie usuwane, ale cotygodniowe nie są nigdy, chyba, że ręcznie, czego od kilku lat nie trzeba było robić bo jest miejsce.

  31. Mój QNAP wyłączony na swiat poza możliwoscią dostępu przez Qbelt. Ale po tym co tutaj czytam to chyba i to wyłącze.

  32. Wystawianie sprzetu z prywatnymi danymi w internet – to juz wycofanie umyslowe czy tylko na styk?

    • chciałeś błysnąć czy pokazać jak jesteś głupi? nie ma żadnego znaczenia jakie to dane i nie ma nic dziwnego w wystawianiu serwera do netu…piszesz właśnie na takim wystawionym do netu serwerze swoje “złote” myśli…

  33. Cholera,
    przypadkiem podałem zły numer TxID. Teraz ich strona twierdzi że czeka na potwierdzenie TxID, którego nie ma w sieci. I nie mogę podać nowego TxID.
    Ktoś ma pomysł, co z tym zrobić?
    Jakiś cache przegląraki?
    Jakiś kontakt z nimi?

  34. No niestety, ale takich rzeczy nie wystawia się w internecie. O ile Qnap ma speców od bezpieczeństwa i ich produkty są generalnie “bezpieczne”, to są też bardzo oczywistym celem ataków, więc każdy, najmniejszy błąd z ich strony zostanie rozpracowany przez badaczy lub złodziei. Wg mnie:
    1. w ogóle nie wystawiać usług do internetu inaczej niż przez VPN. A i punkty dostępowe do tego VPN też mogą wyciec, więc jak jest ich więcej to trzeba kompartmentalizację dostępu robić (tak by dział A nie miał dostępu do danych działu B – Vlany itp)
    2. backupy (ale nie w taki sposób, że po włamie w /root będzie plik backup.sh którego podejrzenie umożliwi zaszyfrowanie też backupów).

  35. Cześć, co mam zrobić po zaszyfrowaniu danych. Znaczna część jest niezaszyfrowana, bo wyłączyłem sprzęt podczas szyfrowania. Czy mogę w jakiś sposób bezpiecznie przejrzeć dane i ewentualnie coś przegrać? Tak by proces szyfrowania nie postępował?

    • Tak. Musisz wstawić dyski do innego NASa. Ale jeśli masz podział na dysk systemu i danych. Tylko w takiej konfiguracji nie wstanie zarażony system tylko podmontują się Twoje dane.
      Ja tak często robię.

    • Nic nie musisz robić i spokojnie możesz te dane przeglądać. Nie słucha kolegi Karola bo nie ma pojęcia o czym pisze. System na NAS nie jest zarażony i nigdy nie był. Qlocker to tylko zdalne wywołanie komendy hasłowania plików nie pozostawiające jakichkolwiek śladów. Wyłaczyłeś sprzęt więc przerwałeś proces – on się nie wznawia. Crontab czysty podobnie jak wszelkie logi systemu. By dokładnie wyczyścić filesystem ze śmieci musisz zalogować się po SSH jako admin i przeszukać wszystko pod kątem plików *README.txt oraz *.*.7z. Pamiętaj że jak w danym katalogu znajdziesz plik !!!README.txt to na 1000% jakiś plik w tym katalogu/podkatalogu został zahasłowany. Parę takich plików w systemie znalazłem i bez problemu skasowałem. Generalnie najlepiej podłaczyć się na konto admin za pomocą WinSCP i przeszukać cały filesystem – możesz sobie wtedy skopiować listę plików do pliku jak i łatwo pousuwać śmieci.

  36. Rozwiązanie to backupy na taśmach write once read many.

  37. Znalazłem klucz w pliku
    /share/CACHEDEV1_DATA/.qpkg/MalwareRemover/7z.log
    i działa :)
    Był też w /usr/local/sbin, razem z 7z.so i 7z.orig

    • A gdzie te pliki znaleźć dokładniej? Jak do nich dojść? :/

    • Połącz się przez SSH, używając np. PUTTY, ew. przez Secure FTP – to masz niezły opis https://www.youtube.com/watch?v=aq_cIdY_ksQ&t=628s.

    • Windows od wersji 1604 wzwyż ma wbudowanego normalnego klienta SSH, wystarczy tylko terminal.

  38. A ten MalwareRemover też sam się zainstalował nawet na tych qnap gdzie żaden “dostep na zewnatrz” nie był uruchomiony. Tobie Piotrze się fuksneło że MalwareRemover zadziałał akurat wtedy kiedy proces szyfrowania trwał. Dlatego masz te pliki

    • Malware remover działa raz dziennie, a szyfrowało mi od 6 dni. Rozważałem ew. szukanie nawet śladów usuniętego logu.
      Wprawdzie większość ważnych plików mam w dodatkowych archiwach, ale nie wszystko.
      Właśnie kończę deszyfrowanie, ponad pół miliona plików :)
      Skoro mam szczęście , to może zagram w totolotka :)

  39. @sfd
    Pokazałeś po prostu inne rozwiązanie, nie krytykuj bez poznania rozwiązania drugiej strony :)

    To o czym piszę ja, to również wyjście z sytuacji choć Twoje może być prostsze.

    Ja rozwiązuję ten problem wyjmując HDD2 na którym mam volumin z danymi, włączam do innego NASa i tam montuję jako wyłącznie magazyn danych więc w moim rozwiązaniu też nie ma żadnego zagrożenia.
    Warunek tylko taki żeby Dysk 1 był jako system a Dysk 2 jako dane – to można zrobić ale wyłącznie podczas inicjalizowania NASa na samym początku.

  40. Karol, U mnie taki sposób odpada, bo nie mam drugiego nasa, a dodatkowo mam raid 1 i 5 (prócz NASa mam też półke dyskową). Ponieważ nie jestem informatykiem tylko z grubsza łapię co piszecie :) Czy mogę Was prosić byście łopatologiczninie mi powiedzieli co mam zrobić?
    Szyfrowanie złapałem w trakcie (większości materiałów nie zdążył zaszyfrować). W czasie jak to robił przeprowadziłem sesję malware remover. Z tego co rozumiem moge teraz zrobić tak, że włączę NASa odłączonego fizycznie od netu (jak piszecie system nie jest zainfekowany, bo szyfrowanie dokonuje się zdalnie z zewnątrz) i w tym momencie nie następuje szyfrowanie “zdrowych plików”. Półkę dyskową na tym etapie mam jeszcze wyłączoną. Co dalej?
    Z góry dziękuję!

  41. Jest nowa wersja firmware do pobrania z wczoraj… 28.04 xD

  42. Odzyskałem dane po resecie/shutdownie. Standardowa procedura nie zadziałała, nie dostałem 7z.log w mnt/HDA_ROOT. Ale uruchomiłem w putty polecenie:

    cp `getcfg MalwareRemover Install_Path -f /etc/config/qpkg.conf`/7z.log /share/Public

    i dostałem piękny pliczek 7z.log z hasełkiem w katalogu PUBLIC. Wszystko hula.
    Polecam sprawdzić u siebie.

    • Nie ogarniam tak dobrze tego wszystkiego, ale gdzie się wpisuje te komendy, jakby ktoś prościej opisał to byłbym wdzięczny :(

    • Gdzie znajduje sie wspomniany katalog PUBLIC?

    • Czesław, czy możemy liczyć, że nam opiszesz jak to zrobić? Rozumiem, że mamy ściągnąć sobie aplikację Puttyi połączyć się nią z serwerem (podłączonym/odłączonym od netu)?
      I coś tam dalej. Będziemy wdzięczni za odpowiedź.

    • 1. Uruchamiacie usługę SSH w panelu administracyjnym NAS. Panel sterowania > Usługi sieci
      2. Logujecie się do SSH używając np. Putty. Dane takie jak do admina
      3. Wpisujecie cp `getcfg MalwareRemover Install_Path -f /etc/config/qpkg.conf`/7z.log /
      4. Otwieracie plik: vim 7.zlog

    • vim /7z.log

  43. Czy ograniczenie logowania tylko do sieci LAN (192.168.1.1-255) – załatwia sprawę? Czy też ten trojan nic sobie z tego nie robi?

  44. Na dysk wrzucam pliki praktycznie codziennie, a dziś po przeczytaniu artykułu:
    – uruchomiłem kilka komend znalezionych w internecie na temat qlocker, ale nic ciekawego. pliku z hasłem nie ma na moim dysku (uruchomiłem ponownie bo aktualizowałem oprogramowanie)
    – malware remover nic nie ma w logach prócz rozpoczęcia i zakończenia skanowania od 21 kwietnia,
    – przejrzałem stare i nowe pliki, małe i duże, no i wszystko wygląda w porządku.
    – Wyłączyłem UPnP na routerze oraz na NAS-ie bo domyślnie były włączone jak się okazuje.
    – Po wyszukaniu procesu 7z pokazuje mi się, że taki proces jest uruchomiony. Nie wiem czy to systemowa usługa czy co, ale trochę podejrzane.

    Mój model to TS-251 i jedyne chyba co mogę teraz zrobić to odłączyć drugi dysk na jakiś czas i zobaczyć co będzie z tym pierwszym. Podłączę go z powrotem za miesiąc czy coś.

  45. Witam,

    Czy poprawki do Systemu Windows też tak można zreversować ? Istnieją sposoby, żeby temu zapobiec ?

  46. Wiadomo coś czy problem z Qlockerem został rozwiązany? Można bezpiecznie włączać swe Qnapy?

    • Tak poszła łatka, trzeba zrobić upgrade systemu.

  47. Mnie właśnie to cudo się przydarzyło a jest 2022 styczeń.
    Co najlepsze system w wersji 5.0 i wszystkie apki są aktualizowane.
    Albo Qlocker jest w nowszej wersji albo połączenie z Help deskiem pozwoliło wgrać tego wirusa.
    Także uwaga też na połączenie zdalne z help deskiem.
    Mam nadzieje że z migawek da się pliki odzyskać.

  48. Właśnie też mi zaszyfrowało pliki na Qnapie. Czy jestem w stanie to odzyskać? Czy ktoś ma doświadczenie w tej kwestii i mu się udało?

  49. U mnie to samo, zaszyfrowany.
    Po ostatnim komunikacie aktualizacje robiłem na bierząco…. i nic to nie dało

  50. Mam to samo. Niestety pliki zaszyfrowane w styczniu, a ja zorientowałem się dopiero wczoraj. QNAP podesłał tylko link do Qrestore i tyle w temacie. Nie wiem czy jest szansa jakakolwiek żeby odzyskać dane. Jeszcze się waham ale zastanawiam się nad zapłata. Niestety teraz to 0,02BTC :(
    Czy ktoś sobie poradził ostatnio z tym problemem? Czy płacąc otrzymaliście poprawne hasło?

  51. No właśnie, wiem, że niestety za błędy się płaci… Czy komuś udało się coś odzyskać?
    Opłącając haracz lub płacąc za odszyfrowywanie?

  52. 1. Primo ultimo – trzeba kupić klucz ( robiłem to kilkukrotnie dla kilku firm i nie było z tym problemu) Nie ma żadnej innej możliwości odszyfrowania tych danych ! Tak jestem tego pewien. Odzyskiwanie danych ze starych zapisów na dysku to nie to samo co deszyfrowanie aktualnych.

    2. Secundo – Większość maszyn ma obecnie usuniętą stronę z adresem BTC do wpłaty i kwotą. Usunięty jest również sam szyfrator niezbędny do odszyfrowania. Przeciętny użytkownik nie ogarnie tego tematy sam gdyż niezbędna jest podstawowa znajomość SSH, Linuxa i jest sporo kombinowania.

    W moich przypadkach po przywróceniu wymaganych plików ustaleniu gdzie i ile trzeba wpłacić, wpłacie, otrzymaniu OP_RETURN, dało się sprawnie z poziomu shella QNAP odzyskać 100% plików w niecałe 2 dni pracy skryptu.

Odpowiadasz na komentarz Michał

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: