Pomoc Qlocker - atak na Qnapy

D

Dyba

Entry Technician
Q Associate
22 Luty 2018
38
4
8
53
Puck
QNAP
TS-x53D
Ethernet
1 GbE
Proszę o podpięcie w odpowiednim miejscu.

Od wczoraj 20.04.2021 - przynajmniej z tego dnia są pierwsze zgłoszenia - Qlocker szyfuje nasze ulubione sprzęty.
U mnie wczoraj było ok, a dzisiaj praktycznie WSZYSTKIE pliki są zaszyfrowane 7z-ipem.
Znalazłem taki wątek na jednym forum:
Qlocker (QNAP NAS) Ransomware encrypting with extension .7z - Ransomware Help & Tech Support

Może komuś się przyda takie info.

Zgłosiłem informację do cert.pl - na razie brak pomysłów.

W dużym skrócie - proble dotyczy maszyn z włączoną usługą myQNAPcloud, ale sprawa jest rozwojowa.

U mnie w logach nic nie znalazłem, poza jakimiś pojedynczymi, nieudanymi próbami logowania na ftp.
Ale te były już wcześniej.
 
już mi dzisiaj zgłaszano zaszyfrowanie danych ... powitajcie QLockera !

upload_2021-4-21_23-52-58.png



Link: https://www.reddit.com/r/qnap/comments/mviy86/sql_injection_vulnerability_in_multimedia_console/

[RANSOMWARE] 4/20/2021 - QLOCKER - QNAP NAS Community Forum
ID Ransomware

Zalecenia #1:
1. Wyłącz UPNP na routerze.
2. Wyłącz UPNP na NASie. (a pisałem - robi się samo = niebezpieczne !!)
3. Nie udostępniaj portów 80/443 z QNAPa na routerze - od tego masz VPNa.
4. Wyłącz, a najlepiej usuń nieużywane aplikacje (w orginale było tylko qnapa)
6. Korzystaj z ochrony IP/QFirewall.
7. Jeśli tylko możesz, nie wystawiaj NASa do internetu.

Zalecenia #2:
1. Jak masz migawki sprawdź je, są sygnały że migawki są kasowane!
2. Sprawdź swój backup - przypominam o kopi 3-2-1


Wyciąganie hasła:
jeśli nas ora ci dyskami , sprawdź czy poniższe polecenia , nie wyplują ci kodu do odszyfrowania
Bash: 
cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
, sam kod bedzie widoczny w cat /mnt/HDA_ROOT/7z.log
 
Z tego co piszą to migawki pokasowało.

Nie mam QuFirewalla.

Ubiłem profilaktycznie proces 7z
 
Dyba napisał:
Z tego co piszą to migawki pokasowało.
Kliknij, aby rozwinąć...
Nawet nie wiesz jak mnie to zmartwiło, zaraz napiszę dlaczego.

Jak się okazuje, własnie sprawdziłem i na jednym z moich QNAPów również mam zaszyfrowane pliki. A dosłownie 2-3 tygodnie temu robiłem na tym QNAPie porządek, wymieniałem dysk, stawiałem system od nowa i uruchomiłem migawki (których do tej pory nigdy nie używałem). Właśnie dlatego je uruchomiłem, bo do tej pory byłem przekonany, że kiedy zdarzy się jakiś "włam" i zaszyfrowanie danych to odtworzę migawkę i dane bez problemu odzyskam.

Również od kilku dni podobne operacje "porządków" i montażu nowego dysku robię na moim drugim QNAPie i tu również w planach były migawki (specjalnie kupiłem większy dysk niż normalnie potrzebuję aby było trochę miejsca na nie).

A tu teraz się okazuje, że jednak migawki nie chronią przed zaszyfrowaniem dysku!

W takim razie pozwolę sobie zapytać: jak się zabezpieczyć? To co na tą chwilę przychodzi mi do głowy to:
- QuFirewall
- wyłączenie wszystkich nieużywanych usług (np. ja nie używam QSynca a widzę, że był odpalony)
- wyłączenie myqnapcloud
- do dostępu zdalnego korzystanie tylko przez VPN - jak serwer VPN stoi na QNAPie to przekierowanie portów tylko dla portu VPN (i to najlepiej losowo wybrany port), wszystkie inne porty pozamykane
- obowiązkowo kopia 3-2-1

Dodam, że dane z dysku który mam zaszyfrowany mam w 100% skopiowane, więc z ich odtworzeniem nie będzie problemu. Jednak do tej pory robiłem kopię (przynajmniej części najważniejszych danych) z jednego QNAPa na drugim (i odwrotnie). Ale jak widać, to nie jest do końca dobry pomysł, bo w jednej chwili można stracić dostęp do danych na tych dwóch fizycznych urządzeniach.

Ktoś ma jeszcze jakieś pomysły? :)
 
witam

w sumie zauważyłem, że coś nie tak po pracy wenylatora w QNAP - zazwyczaj cisza a tu wentylator chodzi mocniej...

żre najpierw dysk systemowy,
na pozostałych nie widziałem aktywności (plików pozmienianych)
i odłączyłem inne dyski przez: bezpiecznie odłącz wolumin

zżarł migawki

na szczęście dzięki temu forum mam backup - przypominam o kopi 3-2-1

ale jak żyć jak QNAP przestaje pełnić bezpieczną funkcję do której został kupiony
 
mam i ja, co prawda na razie tylko jedna partycja /folder/, ale oby tylko ta jedna...
 
Mnie ominęło. Ale możecie sprawdzić czy zadziała wam to co @pigers podał jako 'Niepotwierdzone'
 
@Damian - to zadziała tylko jeśli szyfrowanie dalej trwa

mnie póki co też omineło, long live reverse proxy ;D
 
Mam trzy udziały - zaszyfrowało jeden z nich - niestety ten najważniejszy :(
Ale żeby było śmieszniej - jednego katalogu na tym udziale nie ruszyło - tam są backupy moich baz sql - pakowane zipem
 
Witam. Czy jest szansa że QNAP weźmie na siebie konsekwencje działań włamywaczy? Czy QNAP znajdzie sposób na odszyfrowanie naszych danych? Po trzecie jak uruchomić dostęp przez www?
 
twój adres ip qnapa:8080/cgi-bin/
np 192.168.0.254:8080/cgi-bin/

A co do pytania co Qnap zrobi - to jest duża szansa, że się wypną.
Bo udzielają sztampowych odpowiedzi na zgłoszenia. W których podają takie ogólne porady.
Że masz aktualizować programy na Qnapie , robić backup, kupić antywirusa itp
 
Dyba napisał:
Ale żeby było śmieszniej - jednego katalogu na tym udziale nie ruszyło - tam są backupy moich baz sql - pakowane zipem
Kliknij, aby rozwinąć...
mniejsze niż 20 MB ?

Putgaw napisał:
Czy jest szansa że QNAP weźmie na siebie konsekwencje działań włamywaczy?
Kliknij, aby rozwinąć...
A czy producenci auto biorą na siebie odpowiedzialność za wypadki z udziałem ich aut ? Nie.

Putgaw napisał:
Czy QNAP znajdzie sposób na odszyfrowanie naszych danych?
Kliknij, aby rozwinąć...
Otwórz ticketa i zapytaj - masz aplikacje helpdesk w AppCenter.

Putgaw napisał:
Po trzecie jak uruchomić dostęp przez www?
Kliknij, aby rozwinąć...
Co autor miał na myśli ?
 
Ale jak podaje adres wyskakuje mi od razu komunikat że nie mam dostępu do danych zasobów. Zanim jeszcze podam login i hasło.

Mam dostęp tylko przez aplikację z androida i dostęp do udziałów sieciowych. Nie mam dostępu przez www.
 
wlepić warna za offtop ? jak nie umiesz się logować , to otwórz swój temat , tam pomożemy - tutaj tylko skupiamy się na tym malware.
 
U mnie też tak było - jak wpisałem tylko ip Qnapa - to wywalało błąd
wpisz tak
twój adres ip qnapa:8080/cgi-bin/
np 192.168.0.254:8080/cgi-bin/

Po restarcie Qnapa było już prawidłowo - czyli logowało po adresie ip
 
Ale to jest z tym związane. Kilka dni temu miałem dostęp. Dzis juz nie.
 
Hi,


We just get feedback this week, and security team and R&D team cowork with users to check the root cause.

So far two issue has been found:


1. Weak password brute-force attack

2. Apps has to be updated

- Multimedia console

- Media steaming add-on

- HBS 3


We are also preparing PR for this case.

Basically the action is the same, don't export to the Internet, update fw&app, change password, change management port...


Thanks.


Best Regards,
Kliknij, aby rozwinąć...
i wedlug mnie wylaczyc narazie SQL.
 
Musisz się zalogować lub zarejestrować, aby odpowiedzieć tutaj.

Użytkownicy znaleźli tą stronę używając tych słów:

  1. sophos
  2. xopero
  3. wyłączenie qufirewall
  4. qlocker
  5. mr1702
  6. tr004
  7. jak podlaczyc dysk do pc
  8. media steaming add
  9. 7zip
  10. port światłowód
  11. counselor
  12. 7z odszyfrowanie
  13. zaszyfrowany dostęp do qnap
  14. zmiana portu
  15. Qinspector
  16. odzyskanie danych qlocker
  17. Logman
  18. active directory
  19. program do backupu
  20. Qmusic
  21. Qnap brak odpowiedzi
  22. qphoto
  23. klucz szyfrowania
  24. skynet
  25. qfirewall ustawienia
  26. odzyskiwanie danych
  27. ech0raix
  28. qnapcloud
  29. encrypt
  30. port antywirusa
Początek strony Dół
Z powrotem