Pomoc Qlocker - atak na Qnapy

Ja też mam w swoich logach:
upload_2021-4-26_15-11-11.png
 
Kod: 
[/usr/local/sbin] # md5sum 7z*
875e4ad0b4533da56fe4e394265bdc2c  7z
e48f8072e875059122a0aa0210b034b4  7z.orig
28b0a554944d93ab4874beae2245e317  7z.so
[/usr/local/sbin] # file 7z
-sh: file: command not found
[/usr/local/sbin] # sta
stages.pyc       stat             static_defender  station_session
[/usr/local/sbin] # sta
stages.pyc       stat             static_defender  station_session
[/usr/local/sbin] # stat 7z
  File: 7z
  Size: 1449            Blocks: 8          IO Block: 4096   regular file
Device: 11h/17d Inode: 264659701   Links: 1
Access: (0755/-rwxr-xr-x)  Uid: (    0/   admin)   Gid: (    0/administrators)
Access: 2021-04-26 15:14:55.000000000
Modify: 2021-04-26 14:51:35.000000000
Change: 2021-04-26 14:51:35.000000000

[/usr/local/sbin] # stat 7z.orig
  File: 7z.orig
  Size: 476880          Blocks: 936        IO Block: 4096   regular file
Device: 11h/17d Inode: 31347       Links: 1
Access: (0755/-rwxr-xr-x)  Uid: (    0/   admin)   Gid: (    0/administrators)
Access: 2021-04-26 04:00:00.000000000
Modify: 2021-03-02 00:03:21.000000000
Change: 2021-04-23 10:00:04.000000000
 
Mam na WSZYSTKICH QNAPach !!!!
Nawet na urządzeniach które nie były wystawione do neta, nie miały upnp!!!
WTF! Na szczęście nic nie zostało zaszyfrowane.
 
tak analizuje log z malware removera
nie ma tam nic , poza moimi skryptami do dockera ...
upload_2021-4-26_15-21-42.png


cat 7z.log | grep -vi export | grep -v Uid

Kod: 
/proc/20952:/bin/sh
/proc/20905:/bin/sh
/proc/20900:/bin/sh
/proc/17206:/bin/busybox
/proc/14343:/bin/sh
/proc/20905:/bin/sh
/proc/20900:/bin/sh
/proc/17206:/bin/busybox
/proc/15551:/bin/sh
/proc/20905:/bin/sh
/proc/20900:/bin/sh
/proc/17206:/bin/busybox
/proc/15679:/bin/sh
/proc/20905:/bin/sh
/proc/20900:/bin/sh
/proc/17206:/bin/busybox
/proc/17270:/bin/sh
/proc/20905:/bin/sh
/proc/20900:/bin/sh
/proc/17206:/bin/busybox
/proc/27175:/bin/sh
/proc/20905:/bin/sh
/proc/20900:/bin/sh
/proc/17206:/bin/busybox
/proc/28023:/bin/sh
/proc/20905:/bin/sh
/proc/20900:/bin/sh
/proc/17206:/bin/busybox
/proc/19868:/bin/sh
/proc/20905:/bin/sh
/proc/20900:/bin/sh
/proc/17206:/bin/busybox
/proc/20000:/bin/sh
/proc/20905:/bin/sh
/proc/20900:/bin/sh
/proc/17206:/bin/busybox
/proc/21144:/bin/sh
/proc/20905:/bin/sh
/proc/20900:/bin/sh
/proc/17206:/bin/busybox
/proc/22367:/bin/sh
/proc/20905:/bin/sh
/proc/20900:/bin/sh
/proc/17206:/bin/busybox
/proc/5969:/bin/sh
/proc/20905:/bin/sh
/proc/20900:/bin/sh
/proc/17206:/bin/busybox
/proc/6043:/bin/sh
/proc/20905:/bin/sh
/proc/20900:/bin/sh
/proc/17206:/bin/busybox
/proc/13539:/bin/sh
/proc/20905:/bin/sh
/proc/20900:/bin/sh
/proc/17206:/bin/busybox
/proc/13972:/bin/sh
/proc/20905:/bin/sh
/proc/20900:/bin/sh
/proc/17206:/bin/busybox
/proc/10173:/bin/sh
/proc/10130:/bin/sh
/proc/10128:/bin/sh
/proc/17206:/bin/busybox
/proc/15350:/bin/sh
/proc/10130:/bin/sh
/proc/10128:/bin/sh
/proc/17206:/bin/busybox
/proc/15472:/bin/sh
/proc/10130:/bin/sh
/proc/10128:/bin/sh
/proc/17206:/bin/busybox
/proc/15505:/bin/sh
/proc/10130:/bin/sh
/proc/10128:/bin/sh
/proc/17206:/bin/busybox
/proc/15600:/bin/sh
/proc/10130:/bin/sh
/proc/10128:/bin/sh
/proc/17206:/bin/busybox
/proc/15958:/bin/sh
/proc/10130:/bin/sh
/proc/10128:/bin/sh
/proc/17206:/bin/busybox
/proc/16006:/bin/sh
/proc/10130:/bin/sh
/proc/10128:/bin/sh
/proc/17206:/bin/busybox
/proc/16939:/bin/sh
/proc/10130:/bin/sh
/proc/10128:/bin/sh
/proc/17206:/bin/busybox
/proc/16973:/bin/sh
/proc/10130:/bin/sh
/proc/10128:/bin/sh
/proc/17206:/bin/busybox
/proc/17013:/bin/sh
/proc/10130:/bin/sh
/proc/10128:/bin/sh
/proc/17206:/bin/busybox
/proc/17064:/bin/sh
/proc/10130:/bin/sh
/proc/10128:/bin/sh
/proc/17206:/bin/busybox
/proc/17717:/bin/sh
/proc/10130:/bin/sh
/proc/10128:/bin/sh
/proc/17206:/bin/busybox
/proc/17750:/bin/sh
/proc/10130:/bin/sh
/proc/10128:/bin/sh
/proc/17206:/bin/busybox
/proc/18191:/bin/sh
/proc/10130:/bin/sh
/proc/10128:/bin/sh
/proc/17206:/bin/busybox
/proc/18276:/bin/sh
/proc/10130:/bin/sh
/proc/10128:/bin/sh
/proc/17206:/bin/busybox
/proc/23493:/bin/sh
/proc/23434:/bin/sh
/proc/23431:/bin/sh
/proc/17206:/bin/busybox
/proc/28689:/bin/sh
/proc/23434:/bin/sh
/proc/23431:/bin/sh
/proc/17206:/bin/busybox
/proc/28739:/bin/sh
/proc/23434:/bin/sh
/proc/23431:/bin/sh
/proc/17206:/bin/busybox
/proc/28773:/bin/sh
/proc/23434:/bin/sh
/proc/23431:/bin/sh
/proc/17206:/bin/busybox
/proc/28911:/bin/sh
/proc/23434:/bin/sh
/proc/23431:/bin/sh
/proc/17206:/bin/busybox
/proc/29413:/bin/sh
/proc/23434:/bin/sh
/proc/23431:/bin/sh
/proc/17206:/bin/busybox
/proc/29478:/bin/sh
/proc/23434:/bin/sh
/proc/23431:/bin/sh
/proc/17206:/bin/busybox
/proc/30618:/bin/sh
/proc/23434:/bin/sh
/proc/23431:/bin/sh
/proc/17206:/bin/busybox
/proc/30651:/bin/sh
/proc/23434:/bin/sh
/proc/23431:/bin/sh
/proc/17206:/bin/busybox
/proc/30741:/bin/sh
/proc/23434:/bin/sh
/proc/23431:/bin/sh
/proc/17206:/bin/busybox
/proc/30799:/bin/sh
/proc/23434:/bin/sh
/proc/23431:/bin/sh
/proc/17206:/bin/busybox
/proc/31391:/bin/sh
/proc/23434:/bin/sh
/proc/23431:/bin/sh
/proc/17206:/bin/busybox
/proc/31424:/bin/sh
/proc/23434:/bin/sh
/proc/23431:/bin/sh
/proc/17206:/bin/busybox
/proc/31872:/bin/sh
/proc/23434:/bin/sh
/proc/23431:/bin/sh
/proc/17206:/bin/busybox
/proc/31909:/bin/sh
/proc/23434:/bin/sh
/proc/23431:/bin/sh
/proc/17206:/bin/busybox
 
Dzięki za odpowiedź @Dyba
Próbuję zatem zrobić backup na dysk 10TB (oraz inne mniejsze dyski) za pomocą USB, który w przyszłości będzie u mnie działał jako off-line backup.
Również zgrywam dane zainfekowane gdyby w przyszłości wypłynęły kody do odkodowania.

FYI Pojawiła się stronka QNAP qLocker Decryption Services – 7zip Decode qLocker Password gdzie ktoś proponuje odszyfrowanie 7z. Co o tym myślicie?
 
gówno - złamanie 32 znaków małe duże litery + cyfry to miliardy godzin ~32 lat - nawet nie patrz na to
 
  • Lubię to
Reakcje: kadwa2
Mol napisał:
Mam na WSZYSTKICH QNAPach !!!!
Nawet na urządzeniach które nie były wystawione do neta, nie miały upnp!!!
WTF! Na szczęście nic nie zostało zaszyfrowane.
Kliknij, aby rozwinąć...


Czesc, ja mialem ten artykul MR2102 na 2 QNAPach i obawiam sie najgorszego, ale co mnie martwi najwiecej, ze wszedzie pisza ze migawki sa teraz do niczego, bo tez zniszcza. Kupilem dlatego TR004 i mam tam tylko migwaki i teraz boje sie ze skasuje ten ransomware tez. A smutne bo QNAP wciaz mowi jak migawki sa super itd.

teraz kontroluje co pare minut QNAPy i wciaz wykonuje Malware Remowe, zeby cos robic, bo niewiem co.
 
U mnie na dwóch QNAPach przed chwilą skanowałem i też ten MR2102 - a automatyczne skanowanie które robiło się w nocy nic nie wykryło, więc to coś nowego.

Ale dane teoretycznie mam wszystkie. Co więc to MR2102 robi?
 
maks87 napisał:
U mnie na dwóch QNAPach przed chwilą skanowałem i też ten MR2102 - a automatyczne skanowanie które robiło się w nocy nic nie wykryło, więc to coś nowego.

Ale dane teoretycznie mam wszystkie. Co więc to MR2102 robi?
Kliknij, aby rozwinąć...

Też jestem ciekaw.
 
pigers napisał:
gówno - złamanie 32 znaków małe duże litery + cyfry to miliardy godzin ~32 lat - nawet nie patrz na to
Kliknij, aby rozwinąć...

Chyba, że znają algorytm na podstawie ktorego id_clienta generuje password do 7z ;) Albo to kolejny atak bazujacy na tym zeby zarobic na naiwnych, ktorzy gotowi sa zaplacic by odzyskac dane ;) A po wpłacie rozpłyną się we mgle :D

Z ciekawości chyba zapodam na moim skanowanie - zobaczymy czy cos znajdzie na NAS ktory byl odlaczony od netu przez 99.99% :D

A swoja drogą to eCh0raix nie tworzył 7z tylko .encrypt - wiec mozecie i tego szukac w razie W
 
Kto ma pomysł w czym może być napisana poniższa reguła?
upload_2021-4-26_15-44-30.png


Przy edycji vim za dużo nie widać:
upload_2021-4-26_15-43-34.png
 

Załączniki

  • upload_2021-4-26_15-42-51.png
    upload_2021-4-26_15-42-51.png
    36,9 KB · Wyświetleń: 29
Wydaje mi się iż ten wpis w logu jest informacją, że Malware Remover podmienił plik binarny /usr/local/sbin/7z na skrypt shelowy, a oryginał przemianował na /usr/local/sbin/7z.orig
U mnie czas wpisu w logu potwierdza się z czasem utworzenia skryptu /usr/local/sbin/7z

No chyba że sam Malware Remover jest roznosicielem wirusów :D
 
VDR napisał:
pigers napisał:
gówno - złamanie 32 znaków małe duże litery + cyfry to miliardy godzin ~32 lat - nawet nie patrz na to
Kliknij, aby rozwinąć...

Chyba, że znają algorytm na podstawie ktorego id_clienta generuje password do 7z ;) Albo to kolejny atak bazujacy na tym zeby zarobic na naiwnych, ktorzy gotowi sa zaplacic by odzyskac dane ;) A po wpłacie rozpłyną się we mgle :D

Z ciekawości chyba zapodam na moim skanowanie - zobaczymy czy cos znajdzie na NAS ktory byl odlaczony od netu przez 99.99% :D

A swoja drogą to eCh0raix nie tworzył 7z tylko .encrypt - wiec mozecie i tego szukac w razie W
Kliknij, aby rozwinąć...
Z tego co czytalem ludzie dostaja kody po zaplacie tych dwoch kafli na poczatku byla dziura w systemie i Jack Cable zdolal wydobyc 50 kluczy.
 
to akurat polecenia w normalnym środowisku

przeczytaj polecenia w skryptach MR
 
@pigers Qlocker got you? Jak sytuacja?
 
nope - szybki find nic nie wskazał - podejrzewam ze to kiepsko zrobiony log
 
Musisz się zalogować lub zarejestrować, aby odpowiedzieć tutaj.

Użytkownicy znaleźli tą stronę używając tych słów:

  1. sophos
  2. qlocker
  3. mr1702
  4. xopero
  5. jak podlaczyc dysk do pc
  6. 7zip
  7. port światłowód
  8. counselor
  9. 7z odszyfrowanie
  10. zaszyfrowany dostęp do qnap
  11. zmiana portu
  12. Qinspector
  13. odzyskanie danych qlocker
  14. Logman
  15. active directory
  16. program do backupu
  17. Qmusic
  18. qphoto
  19. klucz szyfrowania
  20. skynet
  21. qfirewall ustawienia
  22. odzyskiwanie danych
  23. ech0raix
  24. qnapcloud
  25. encrypt
  26. port antywirusa
  27. zaszyfrowany serwer
  28. restart NAS przez SSH
  29. brute force
  30. kodi podstawy
Początek strony Dół
Z powrotem