Pomoc Qlocker - atak na Qnapy

Dyba

Entry Technician
Q Associate
22 Luty 2018
38
4
8
53
Puck
QNAP
TS-x53D
Ethernet
1 GbE
Proszę o podpięcie w odpowiednim miejscu.

Od wczoraj 20.04.2021 - przynajmniej z tego dnia są pierwsze zgłoszenia - Qlocker szyfuje nasze ulubione sprzęty.
U mnie wczoraj było ok, a dzisiaj praktycznie WSZYSTKIE pliki są zaszyfrowane 7z-ipem.
Znalazłem taki wątek na jednym forum:
Qlocker (QNAP NAS) Ransomware encrypting with extension .7z - Ransomware Help & Tech Support

Może komuś się przyda takie info.

Zgłosiłem informację do cert.pl - na razie brak pomysłów.

W dużym skrócie - proble dotyczy maszyn z włączoną usługą myQNAPcloud, ale sprawa jest rozwojowa.

U mnie w logach nic nie znalazłem, poza jakimiś pojedynczymi, nieudanymi próbami logowania na ftp.
Ale te były już wcześniej.
 
już mi dzisiaj zgłaszano zaszyfrowanie danych ... powitajcie QLockera !

upload_2021-4-21_23-52-58.png



Link: https://www.reddit.com/r/qnap/comments/mviy86/sql_injection_vulnerability_in_multimedia_console/

[RANSOMWARE] 4/20/2021 - QLOCKER - QNAP NAS Community Forum
ID Ransomware

Zalecenia #1:
1. Wyłącz UPNP na routerze.
2. Wyłącz UPNP na NASie. (a pisałem - robi się samo = niebezpieczne !!)
3. Nie udostępniaj portów 80/443 z QNAPa na routerze - od tego masz VPNa.
4. Wyłącz, a najlepiej usuń nieużywane aplikacje (w orginale było tylko qnapa)
6. Korzystaj z ochrony IP/QFirewall.
7. Jeśli tylko możesz, nie wystawiaj NASa do internetu.

Zalecenia #2:
1. Jak masz migawki sprawdź je, są sygnały że migawki są kasowane!
2. Sprawdź swój backup - przypominam o kopi 3-2-1


Wyciąganie hasła:
jeśli nas ora ci dyskami , sprawdź czy poniższe polecenia , nie wyplują ci kodu do odszyfrowania
Bash:
cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
, sam kod bedzie widoczny w cat /mnt/HDA_ROOT/7z.log
 
Z tego co piszą to migawki pokasowało.

Nie mam QuFirewalla.

Ubiłem profilaktycznie proces 7z
 
Z tego co piszą to migawki pokasowało.
Nawet nie wiesz jak mnie to zmartwiło, zaraz napiszę dlaczego.

Jak się okazuje, własnie sprawdziłem i na jednym z moich QNAPów również mam zaszyfrowane pliki. A dosłownie 2-3 tygodnie temu robiłem na tym QNAPie porządek, wymieniałem dysk, stawiałem system od nowa i uruchomiłem migawki (których do tej pory nigdy nie używałem). Właśnie dlatego je uruchomiłem, bo do tej pory byłem przekonany, że kiedy zdarzy się jakiś "włam" i zaszyfrowanie danych to odtworzę migawkę i dane bez problemu odzyskam.

Również od kilku dni podobne operacje "porządków" i montażu nowego dysku robię na moim drugim QNAPie i tu również w planach były migawki (specjalnie kupiłem większy dysk niż normalnie potrzebuję aby było trochę miejsca na nie).

A tu teraz się okazuje, że jednak migawki nie chronią przed zaszyfrowaniem dysku!

W takim razie pozwolę sobie zapytać: jak się zabezpieczyć? To co na tą chwilę przychodzi mi do głowy to:
- QuFirewall
- wyłączenie wszystkich nieużywanych usług (np. ja nie używam QSynca a widzę, że był odpalony)
- wyłączenie myqnapcloud
- do dostępu zdalnego korzystanie tylko przez VPN - jak serwer VPN stoi na QNAPie to przekierowanie portów tylko dla portu VPN (i to najlepiej losowo wybrany port), wszystkie inne porty pozamykane
- obowiązkowo kopia 3-2-1

Dodam, że dane z dysku który mam zaszyfrowany mam w 100% skopiowane, więc z ich odtworzeniem nie będzie problemu. Jednak do tej pory robiłem kopię (przynajmniej części najważniejszych danych) z jednego QNAPa na drugim (i odwrotnie). Ale jak widać, to nie jest do końca dobry pomysł, bo w jednej chwili można stracić dostęp do danych na tych dwóch fizycznych urządzeniach.

Ktoś ma jeszcze jakieś pomysły? :)
 
witam

w sumie zauważyłem, że coś nie tak po pracy wenylatora w QNAP - zazwyczaj cisza a tu wentylator chodzi mocniej...

żre najpierw dysk systemowy,
na pozostałych nie widziałem aktywności (plików pozmienianych)
i odłączyłem inne dyski przez: bezpiecznie odłącz wolumin

zżarł migawki

na szczęście dzięki temu forum mam backup - przypominam o kopi 3-2-1

ale jak żyć jak QNAP przestaje pełnić bezpieczną funkcję do której został kupiony
 
mam i ja, co prawda na razie tylko jedna partycja /folder/, ale oby tylko ta jedna...
 
Mnie ominęło. Ale możecie sprawdzić czy zadziała wam to co @pigers podał jako 'Niepotwierdzone'
 
@Damian - to zadziała tylko jeśli szyfrowanie dalej trwa

mnie póki co też omineło, long live reverse proxy ;D
 
Mam trzy udziały - zaszyfrowało jeden z nich - niestety ten najważniejszy :(
Ale żeby było śmieszniej - jednego katalogu na tym udziale nie ruszyło - tam są backupy moich baz sql - pakowane zipem
 
Witam. Czy jest szansa że QNAP weźmie na siebie konsekwencje działań włamywaczy? Czy QNAP znajdzie sposób na odszyfrowanie naszych danych? Po trzecie jak uruchomić dostęp przez www?
 
twój adres ip qnapa:8080/cgi-bin/
np 192.168.0.254:8080/cgi-bin/

A co do pytania co Qnap zrobi - to jest duża szansa, że się wypną.
Bo udzielają sztampowych odpowiedzi na zgłoszenia. W których podają takie ogólne porady.
Że masz aktualizować programy na Qnapie , robić backup, kupić antywirusa itp
 
Ale żeby było śmieszniej - jednego katalogu na tym udziale nie ruszyło - tam są backupy moich baz sql - pakowane zipem
mniejsze niż 20 MB ?

Czy jest szansa że QNAP weźmie na siebie konsekwencje działań włamywaczy?
A czy producenci auto biorą na siebie odpowiedzialność za wypadki z udziałem ich aut ? Nie.

Czy QNAP znajdzie sposób na odszyfrowanie naszych danych?
Otwórz ticketa i zapytaj - masz aplikacje helpdesk w AppCenter.

Po trzecie jak uruchomić dostęp przez www?
Co autor miał na myśli ?
 
Ale jak podaje adres wyskakuje mi od razu komunikat że nie mam dostępu do danych zasobów. Zanim jeszcze podam login i hasło.

Mam dostęp tylko przez aplikację z androida i dostęp do udziałów sieciowych. Nie mam dostępu przez www.
 
wlepić warna za offtop ? jak nie umiesz się logować , to otwórz swój temat , tam pomożemy - tutaj tylko skupiamy się na tym malware.
 
U mnie też tak było - jak wpisałem tylko ip Qnapa - to wywalało błąd
wpisz tak
twój adres ip qnapa:8080/cgi-bin/
np 192.168.0.254:8080/cgi-bin/

Po restarcie Qnapa było już prawidłowo - czyli logowało po adresie ip
 
Ale to jest z tym związane. Kilka dni temu miałem dostęp. Dzis juz nie.
 
Hi,


We just get feedback this week, and security team and R&D team cowork with users to check the root cause.

So far two issue has been found:


1. Weak password brute-force attack

2. Apps has to be updated

- Multimedia console

- Media steaming add-on

- HBS 3


We are also preparing PR for this case.

Basically the action is the same, don't export to the Internet, update fw&app, change password, change management port...


Thanks.


Best Regards,
i wedlug mnie wylaczyc narazie SQL.
 

Użytkownicy znaleźli tą stronę używając tych słów:

  1. sophos
  2. qlocker
  3. mr1702
  4. xopero
  5. jak podlaczyc dysk do pc
  6. 7zip
  7. port światłowód
  8. counselor
  9. 7z odszyfrowanie
  10. zaszyfrowany dostęp do qnap
  11. zmiana portu
  12. odzyskanie danych qlocker
  13. Logman
  14. active directory
  15. program do backupu
  16. Qmusic
  17. qphoto
  18. klucz szyfrowania
  19. skynet
  20. qfirewall ustawienia
  21. odzyskiwanie danych
  22. ech0raix
  23. encrypt
  24. port antywirusa
  25. zaszyfrowany serwer
  26. restart NAS przez SSH
  27. brute force
  28. kodi podstawy
  29. 212P
  30. qlink