Pomoc Qlocker - atak na Qnapy

Niektórzy pisali, że znaleźli podejrzane pliki np.:
Kod: 
/root/re.sh
/mnt/ext/opt/apps/backup.php
usuwanie snapshotów i backdoor
Oraz że mogą rozpokowywać pliki bez potrzeby hasła - może w waszych przypadkach się uda?
 
Damian napisał:
Oraz że mogą rozpokowywać pliki bez potrzeby hasła - może w waszych przypadkach się uda?
Kliknij, aby rozwinąć...

Serio myślisz, że nie próbowaliśmy ?
Zarówno ze zmapowanego udziału jak i po przegraniu na komputer - pliki są zaszyfrowane, więc potrzebne jest hasło.
Ludzie pisali też, że niektóre pliki które sprawdzali, okazały się ich starymi plikami, które sami spakowali i dlatego nie potrzebowali hasła do ich otwarcia.
 
How exactly is the ransomware getting onto people's network-attached storage systems? Well, look no further than these three critical vulnerabilities that QNAP patched this month, the first two highlighted today in its warning to customers:

  • CVE-2020-36195 aka QSA-21-11: An SQL injection flaw in the Multimedia Console and the Media Streaming add-on that can be exploited to ultimately gain control of the box. This was patched on April 16, just days before the latest ransomware outbreak kicked off.
  • CVE-2021-28799 aka QSA-21-13: Hard-coded login credentials were found and removed in HBS 3 Hybrid Backup Sync. If you know these creds, you can gain control of the device via this backdoor access. Though its advisory suggests the bug was fixed today, it was actually patched in version 16.0.0415 released on April 16.
  • CVE-2020-2509 aka QSA-21-05: A command-injection vulnerability in QTS and QuTS hero that can be exploited to seize control of a box. This was also patched on April 16.
Kliknij, aby rozwinąć...

If you have a QNAP NAS, stop what you're doing right now and install latest updates. Do it before Qlocker gets you
 
To ile tych luk znaleźli, bo:

HBS 3 Hybrid Backup Sync 3.0.210412
( 2021/04/23 )
[Security Updates]
- Fixed a credential vulnerability.
- Fixed two command injection vulnerabilities.
 
Myślę że sam Qnap nadal nie wie w czym jest problem ponieważ to co podaje nie zgadza się z rzeczywistością. Albo atak był przygotowany przed owymi poprawkami z 16kwietnia i to czy ktoś je zainstalował czy nie nie miało już żadnego znaczenia.

Jedni mają problem bo mają zahasłowane pliki inni mają problem bo jeszcze mają całe i obawiają się ataku - a nic pewnego nie ma. Praktycznie w kółko na forach wałkowane jest zablokować dostęp myqnapcloud.com (DDNS) jako jedną z przyczyn. No i tego akurat nie rozumiem. Bo i ile qnap cloud link bylo wiadomo od dawna ze moze być niebezpieczny o tyle DDNS pokazuje tylko nasz IP.

Natomiast istnieją jeszcze te 2 metody dla tych co nie restartowli sprzętu po ataku mogą spróbować odnaleźć plik 7z.log i z niego odczytać haslo a dla tych co juz zrestartowali mogą spróbować użyć programu do odzyskiwania "zdjęć" który ponoć radzi sobie z innymi plikami i w ten sposób moża trochę plików odzyskać.

A mnie zastanawia dlaczego zatem skoro ludzie chca odzyskiwać tysiące plików dzięki programowi do odzyskiwania - nikt nie próbować odzyskać owego pliku 7z.log
 
To jeszcze jedna ciekawostka. Skoro należy zaktualizować HBS i inne paczki, to może niech one w końcu pojawią się w app center? Bo change log aplikacji a to co jest w app center to dwie różne sprawy ;)
 
  • Lubię to
Reakcje: LEVY i (usunięty użytkownik)
Esc napisał:
Myślę że sam Qnap nadal nie wie w czym jest problem ponieważ to co podaje nie zgadza się z rzeczywistością. Albo atak był przygotowany przed owymi poprawkami z 16kwietnia i to czy ktoś je zainstalował czy nie nie miało już żadnego znaczenia.

Jedni mają problem bo mają zahasłowane pliki inni mają problem bo jeszcze mają całe i obawiają się ataku - a nic pewnego nie ma. Praktycznie w kółko na forach wałkowane jest zablokować dostęp myqnapcloud.com (DDNS) jako jedną z przyczyn. No i tego akurat nie rozumiem. Bo i ile qnap cloud link bylo wiadomo od dawna ze moze być niebezpieczny o tyle DDNS pokazuje tylko nasz IP.

Natomiast istnieją jeszcze te 2 metody dla tych co nie restartowli sprzętu po ataku mogą spróbować odnaleźć plik 7z.log i z niego odczytać haslo a dla tych co juz zrestartowali mogą spróbować użyć programu do odzyskiwania "zdjęć" który ponoć radzi sobie z innymi plikami i w ten sposób moża trochę plików odzyskać.

A mnie zastanawia dlaczego zatem skoro ludzie chca odzyskiwać tysiące plików dzięki programowi do odzyskiwania - nikt nie próbować odzyskać owego pliku 7z.log
Kliknij, aby rozwinąć...

no wlasnie chyba to bylo juz dawno na nasach i czekalo na jakieś dzialanie albo date...
 
Dlatego, żeby chuchać na zimne:
- wyłączyłem usługi multimedialne, serwer www, Bonjur, Upnp w NAS i routerze.
- odinstalowałem HBS, Qphoto, Qmusic, MyQnapCloud.
- zmieniłem główny port logowania, hasło, sformatowałem dysk i wgrałem kopię,
- włączyłem antywirusa, automatyczną aktualizację QTS i aplikacji (codziennie) oraz uruchomiłem migawki.
- zainstalowałem QuFirewalla na Basic.
- nie mapowałem dysków sieciowych w Windows.
- odinstalowałem na androidzie aplikacje typu Qfile, Qmusic itp.

W planach jeszcze weryfikacja dwuetapowa i usunięcie admina i stworzenie nowego.
Coś jeszcze polecacie?
 
i jakoś nie wierze by ktos skanowal wszystkie ip... szukajac otwartego portu z apkami qnapa... raczej wycieklo cos co wskazalo ip qnapow...
 
... ja bym jeszcze
- owinął w styropian, żeby nie było mu zimno,
- następnie w folię aluminiową, żeby przestrzec go przed atakiem mobilnym,
- a po wszystkim spakował na renifera i wysłał na Alaskę

sorrki, nie gniewaj się..., tak mnie naszło,
ale może wróćmy do tematu... i dajmy spokój ;-)
 
Malware Remover 4.6.1.1 łaskawie oznajmił swoją obecność. Czekam na raport skanu.
 
Patrząc na załączony screen zastanawiam się co ludzie myśleli w momencie klikania na przycisk "Next", przecież to samo prosi się o nieprzyjemności.
 

Załączniki

  • Screenshot_2021-04-23-13-00-09-1654979570.png
    Screenshot_2021-04-23-13-00-09-1654979570.png
    264 KB · Wyświetleń: 82
Ciangi napisał:
przecież to samo prosi się o nieprzyjemności.
Kliknij, aby rozwinąć...
i tak i nie.

Z jeden strony - jest to niebezpieczne , bo każdy komputer w sieci może za pomocą uPNP zażądać przkierowania portów
z drugiej strony - przeciętny Kowalski , nie umie przekierowac portów , niech program zrobi to za niego

"każdy kij ma dwa końce"
 
pigers napisał:
Ciangi napisał:
przecież to samo prosi się o nieprzyjemności.
Kliknij, aby rozwinąć...
i tak i nie.

Z jeden strony - jest to niebezpieczne , bo każdy komputer w sieci może za pomocą uPNP zażądać przkierowania portów
z drugiej strony - przeciętny Kowalski , nie umie przekierowac portów , niech program zrobi to za niego

"każdy kij ma dwa końce"
Kliknij, aby rozwinąć...

Dokładnie, sam miałem przekierowane i trafił mi się qlocker, co prawda tylko w jednym, mało istotnym folderze, ale jednak...
Zdaję sobie sprawę że sam go wpuściłem, ale było to szczęści w nieszczęściu, a teraz walczę drugi dzień, jak dostać się do Qnap z zewnątrz poprzez QVPN Service2 i nie mogę dojść...
 
Musisz się zalogować lub zarejestrować, aby odpowiedzieć tutaj.

Użytkownicy znaleźli tą stronę używając tych słów:

  1. sophos
  2. qlocker
  3. mr1702
  4. xopero
  5. Logman
  6. active directory
  7. program do backupu
  8. Qmusic
  9. qphoto
  10. klucz szyfrowania
  11. skynet
  12. qfirewall ustawienia
  13. odzyskiwanie danych
  14. ech0raix
  15. encrypt
  16. port antywirusa
  17. zaszyfrowany serwer
  18. restart NAS przez SSH
  19. brute force
  20. kodi podstawy
  21. 212P
  22. qlink
  23. fotograf
  24. tr004
  25. jak podlaczyc dysk do pc
  26. 7zip
  27. port światłowód
  28. counselor
  29. 7z odszyfrowanie
  30. zaszyfrowany dostęp do qnap
Początek strony Dół
Z powrotem