Pomoc Qlocker - atak na Qnapy

Po dzisiejszym upgradzie firmware cos mnie tknęło zeby sprawdzic czy napewno wszystko powyłączane. A tu widze myqnapcloud ENABLED. Co jest grane, na 100% miałem to wyłączone.

potwierdzam, u mnie też włączone, a na 100 było wyłączone

U mnie to samo ;)
Ja Wam wierzę. W moim przypadku support twierdził, że jeśli nie wyłączyłem domyślnych autoaktualizacji to powinny działać. Nawet nie przyszłoby mi do głowy żeby tego szukać. Uprawnienia do albumów w PhotoStation też zawsze muszę dwa razy ustawiać, bo po pierwszym zawsze jest inaczej niż zaznaczyłem.
 
sprawdzcie changeloga - jak nie ma tam pół słowa o tym

upload_2021-5-19_19-48-35.png
 
  • Lubię to
Reakcje: Ice
U mnie było wyłączone przed updatem, po update - nadal wyłączone.
 
U mnie wyłączone po upgrade, ale może dlatego, że mój QNAP nie zna już mojego QNAP ID :D ;)
 
U mnie też QNAP nie zna mojego QNAP ID - po całej akcji z szyfrowaniem danych po prostu wyrejestrowałem QNAPy (na razie dwa, trzeci jeszcze chwilę musi mieć dostęp do myqnapcloud) i mam z tym spokój - a przynajmniej tak mi się wydaje:)

Chociaż oczywiście w QuFirewall codziennie po kilka tysięcy prób logowania. I się zastanawiam jak to możliwe, bo pozmieniałem też oczywiście porty do logowania. Wynika z tego, że "to coś" co atakuje nie próbuje tylko na defaultowych portach ale też skanuje pozostałe?
 
Chociaż oczywiście w QuFirewall codziennie po kilka tysięcy prób logowania. I się zastanawiam jak to możliwe, bo pozmieniałem też oczywiście porty do logowania. Wynika z tego, że "to coś" co atakuje nie próbuje tylko na defaultowych portach ale też skanuje pozostałe?

Nie tyle atakuje co "próbkuje". To z reguły botnety szukające znanych podatności, szukające prostych hasel typu admin/1qaz2wsx i lecace adres po adresie w poszukiwaniu czegoś o co będzie można się zaczepić i wykorzystać do ataku.
 
Trochę mnie ten temat botnetów zastanawia w kontekście tytułowego ataku. Czy są jakieś analizy tego jak i kogo zaatakował Qlocker? Tzn. czy oberwało się tylko tym, którzy mieli aktywną usługę myqnapcloud czy osoby korzystające z alternatyw w postaci ddns-ów takich jak no-ip też zostały zaatakowane?
 
@piotros Ogólnie winny jest Qnap i jego oprogramowanie. Jak wystawisz na świat Qnapa, nie musi być przez myqnapcloud, wystarczy samo IP i otwarte porty to już "nasłuchiwacze" mają co robić. Stąd propozycja aby wyciągnąć kabel od Qnapa, przez co mam na myśli by zostawić tylko jedną możliwość połączenia się z Qnapem przez VPN. A więc ograniczasz możliwość niechcianym osobom dostęp do Qnapa. Łączenie przez VPN z zewnątrz jest najbardziej chyba bezpiecznym rozwiązaniem. Jeszcze lepszym jest odłączenie Qnapa i praca tylko przez LAN.

Ja osobiście uważam że pierwsze co powinien zrobić Qnap to na wzór konkrecji, możliwość zmiany użytkownika admin. @Damian w innym wątku podał ciekawe źródła infromacji dlaczego tak się stało. Ogólnie program którego korzystam czyli HBS3 miał taką dziurę że osoba która na tym się zna, pewnie jak to zobaczyła nie uwierzyła że coś takiego mogło powstać. Ostatni atak był również spowodowany wadliwym oprogramowaniem Qnapa, Music Station (swoją droga nie polecam).

Po ataku z Music Station Qnap uruchomił marketing i proponował ochronne swojego NAS migawkami. Jak się okazało ten atak pokazał że migawki są tak samo warte co brak dodatkowej kopi jeszcze gdzieś.

Ja bym się zastanowił by ograniczyć wejście innym już po stronie Routera, bo jeśli ktos próbuje wejść na Qnap to znaczy że "poszukiwacze" moga robić co chcą. Zaczął bym zabezpieczać swoją sieć już tutaj.

Ogólnie jak mam Twoje IP to sa strony www na którym mogę sprawdzić jakie masz otwarte porty w routerze itp.
 
  • Lubię to
Reakcje: piotros i Ice
Szukam wszędzie i niestety nie znalazłem odpowiedzi, czy jest szansa za rozszyfrowanie danych bez płacenia? Zaszyfrowało mi w dn. 21.04, upgrade zrobiłem 24.04 po info w necie, że coś takiego jest, i nie sprawdziłem czy pliki zaszyfrowane, bo to qnap domowy, na którym trzymamy zdjęcia rodzinne (jako facet w zdjęcia za często nie klikam). Żona mi od tygodnia zgłasza, że nie wyświetla jej zdjęć w QPhoto na iPhonie. Sprrawdzam, a tam same 7z. Niestety kopii brak. bo tylko zdjęcia. I niestety aż zdjęcia, bo wszystkie od 20 lat. C
 
@piotros Dzięki, będę sprawdzał, bo szkoda historii tylu lat. Głupota, bez beackupu, ale nigdy nie było czasu, bo to tylko zdjęcia.
Uważam, że to błąd Qnapa - w końcu to rozwiązanie dla użytkowników domowych (TS-251), reklamowane jako wygoda przechowywania danych, udostępniania i bezpieczeństwo. A wszystko szlak trafił. Powinni znaleźć rozwiązanie, aby wszystkim dane wróciły (może nawet sami zapłacić hakerom i za darmo udostępnić klucze wraz z oprogramowaniem, które to łatwo przywróci). Dla mnie to jest na pewno ostatni Qnap.
 
poważnie ? pisz do BMW żeby Ci oddali kase za auto bo ma dziurę w oponie
 
  • Angry
Reakcje: piotros
Gdzie w sieci wyciekło jaką furą jeżdżę?;)
Nie oczekiwałbym kasy za auto, tylko wymiany wadliwej opony. A jakby opona była wadliwa, to wymieniliby pewno - przecież właśnie są akcję serwisowe, że wymieniają wadliwe elementy (właśnie mi wymieniają wahacze przednie na gwarancji, a wiadomo, że polskie drogi dziurawe są:) W przypadku QNAPA - nie oczekuje, że oddadzą mi kasę za QNAPA, tylko naprawią swój błąd. Tutaj problem powstał, bo wykorzystywało się NASa zgodnie z ich marketingiem - udostępniaj łatwo, bezpiecznie, a tak i tak większość funkcji była wyłączona. To tak jakby BMW sprzedawało samochody z dziurawymi oponami, tylko nikt takiego samochodu nie odebrałby z salonu.
 
  • Lubię to
Reakcje: piotros
no popatrz - jak teraz zmieniło Ci się :O

tłuczemy - NAS to nie backup <KROPKA>

poczytaj na forum S (jak działa xD) co było z Synolockerem
jak poszukasz głębiej, to sprawdź jakie adresy IP łączyły się do Twojego QNAPa i co tam działa.
 
@piotros Dzięki, będę sprawdzał, bo szkoda historii tylu lat. Głupota, bez beackupu, ale nigdy nie było czasu, bo to tylko zdjęcia.
Uważam, że to błąd Qnapa - w końcu to rozwiązanie dla użytkowników domowych (TS-251), reklamowane jako wygoda przechowywania danych, udostępniania i bezpieczeństwo. A wszystko szlak trafił. Powinni znaleźć rozwiązanie, aby wszystkim dane wróciły (może nawet sami zapłacić hakerom i za darmo udostępnić klucze wraz z oprogramowaniem, które to łatwo przywróci). Dla mnie to jest na pewno ostatni Qnap.
Porty zmienione? Jakieś dodatkowe zabezpieczenia były? Internet to niebezpieczne miejsce.
Co do auta, @pigers jest hakierem więc wie wszystko.
 
Nie wszystko wie, poszedłem sprawdzić i dziury jednak nie ma:)

W tym okresie za dużo się nie łączyło, ale pewni trzeba by sprawdzać głębiej.
 

Załączniki

  • Przechwytywanie_qnap3.JPG
    Przechwytywanie_qnap3.JPG
    84,3 KB · Wyświetleń: 64
Cieszcie się gamonie, że jest sposób na odzyskanie danych i nie wystawiajcie swoich urządzeń na świat! KROPKA! To tak, jakbym zostawił drzwi wejściowe niezamknięte na zamek i pojechał sobie na wakacje.
 

Użytkownicy znaleźli tą stronę używając tych słów:

  1. sophos
  2. qlocker
  3. mr1702
  4. xopero
  5. jak podlaczyc dysk do pc
  6. 7zip
  7. port światłowód
  8. counselor
  9. 7z odszyfrowanie
  10. zaszyfrowany dostęp do qnap
  11. zmiana portu
  12. odzyskanie danych qlocker
  13. Logman
  14. active directory
  15. program do backupu
  16. Qmusic
  17. qphoto
  18. klucz szyfrowania
  19. skynet
  20. qfirewall ustawienia
  21. odzyskiwanie danych
  22. ech0raix
  23. encrypt
  24. port antywirusa
  25. zaszyfrowany serwer
  26. restart NAS przez SSH
  27. brute force
  28. kodi podstawy
  29. 212P
  30. qlink