Help Qlocker - atak na Qnapy

[Dyba]

Proszę o podpięcie w odpowiednim miejscu.

Od wczoraj 20.04.2021 - przynajmniej z tego dnia są pierwsze zgłoszenia - Qlocker szyfuje nasze ulubione sprzęty.
U mnie wczoraj było ok, a dzisiaj praktycznie WSZYSTKIE pliki są zaszyfrowane 7z-ipem.
Znalazłem taki wątek na jednym forum:
Qlocker (QNAP NAS) Ransomware encrypting with extension .7z - Ransomware Help & Tech Support

Może komuś się przyda takie info.

Zgłosiłem informację do cert.pl - na razie brak pomysłów.

W dużym skrócie - proble dotyczy maszyn z włączoną usługą myQNAPcloud, ale sprawa jest rozwojowa.

U mnie w logach nic nie znalazłem, poza jakimiś pojedynczymi, nieudanymi próbami logowania na ftp.
Ale te były już wcześniej.

 

[maks87]

Masz uruchomiony QuFirewall?
Masz migawki?

 

[Usunięty użytkownik pigers]

już mi dzisiaj zgłaszano zaszyfrowanie danych ... powitajcie QLockera !

Link: https://www.reddit.com/r/qnap/comments/mviy86/sql_injection_vulnerability_in_multimedia_console/

[RANSOMWARE] 4/20/2021 - QLOCKER - QNAP NAS Community Forum
ID Ransomware

Zalecenia #1:
1. Wyłącz UPNP na routerze.
2. Wyłącz UPNP na NASie. (a pisałem - robi się samo = niebezpieczne !!)
3. Nie udostępniaj portów 80/443 z QNAPa na routerze - od tego masz VPNa.
4. Wyłącz, a najlepiej usuń nieużywane aplikacje (w orginale było tylko qnapa)
6. Korzystaj z ochrony IP/QFirewall.
7. Jeśli tylko możesz, nie wystawiaj NASa do internetu.

Zalecenia #2:
1. Jak masz migawki sprawdź je, są sygnały że migawki są kasowane!
2. Sprawdź swój backup - przypominam o kopi 3-2-1


Wyciąganie hasła:
jeśli nas ora ci dyskami , sprawdź czy poniższe polecenia , nie wyplują ci kodu do odszyfrowania

cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;

, sam kod bedzie widoczny w cat /mnt/HDA_ROOT/7z.log

 

[Dyba]

Z tego co piszą to migawki pokasowało.

Nie mam QuFirewalla.

Ubiłem profilaktycznie proces 7z

 

[maks87]

Z tego co piszą to migawki pokasowało.

Nawet nie wiesz jak mnie to zmartwiło, zaraz napiszę dlaczego.

Jak się okazuje, własnie sprawdziłem i na jednym z moich QNAPów również mam zaszyfrowane pliki. A dosłownie 2-3 tygodnie temu robiłem na tym QNAPie porządek, wymieniałem dysk, stawiałem system od nowa i uruchomiłem migawki (których do tej pory nigdy nie używałem). Właśnie dlatego je uruchomiłem, bo do tej pory byłem przekonany, że kiedy zdarzy się jakiś "włam" i zaszyfrowanie danych to odtworzę migawkę i dane bez problemu odzyskam.

Również od kilku dni podobne operacje "porządków" i montażu nowego dysku robię na moim drugim QNAPie i tu również w planach były migawki (specjalnie kupiłem większy dysk niż normalnie potrzebuję aby było trochę miejsca na nie).

A tu teraz się okazuje, że jednak migawki nie chronią przed zaszyfrowaniem dysku!

W takim razie pozwolę sobie zapytać: jak się zabezpieczyć? To co na tą chwilę przychodzi mi do głowy to:
- QuFirewall
- wyłączenie wszystkich nieużywanych usług (np. ja nie używam QSynca a widzę, że był odpalony)
- wyłączenie myqnapcloud
- do dostępu zdalnego korzystanie tylko przez VPN - jak serwer VPN stoi na QNAPie to przekierowanie portów tylko dla portu VPN (i to najlepiej losowo wybrany port), wszystkie inne porty pozamykane
- obowiązkowo kopia 3-2-1

Dodam, że dane z dysku który mam zaszyfrowany mam w 100% skopiowane, więc z ich odtworzeniem nie będzie problemu. Jednak do tej pory robiłem kopię (przynajmniej części najważniejszych danych) z jednego QNAPa na drugim (i odwrotnie). Ale jak widać, to nie jest do końca dobry pomysł, bo w jednej chwili można stracić dostęp do danych na tych dwóch fizycznych urządzeniach.

Ktoś ma jeszcze jakieś pomysły?

 

[buju76]

witam

w sumie zauważyłem, że coś nie tak po pracy wenylatora w QNAP - zazwyczaj cisza a tu wentylator chodzi mocniej...

żre najpierw dysk systemowy,
na pozostałych nie widziałem aktywności (plików pozmienianych)
i odłączyłem inne dyski przez: bezpiecznie odłącz wolumin

zżarł migawki

na szczęście dzięki temu forum mam backup - przypominam o kopi 3-2-1

ale jak żyć jak QNAP przestaje pełnić bezpieczną funkcję do której został kupiony

 

[Dyba]

Jest światełko w tunelu, ale czy to nie pociąg - zobaczymy
Massive Qlocker ransomware attack uses 7zip to encrypt QNAP devices

 

[sweb]

mam i ja, co prawda na razie tylko jedna partycja /folder/, ale oby tylko ta jedna...

 

[Damian]

Mnie ominęło. Ale możecie sprawdzić czy zadziała wam to co @pigers podał jako 'Niepotwierdzone'

 

[Usunięty użytkownik pigers]

@Damian - to zadziała tylko jeśli szyfrowanie dalej trwa

mnie póki co też omineło, long live reverse proxy ;D

 

[Dyba]

Mam trzy udziały - zaszyfrowało jeden z nich - niestety ten najważniejszy
Ale żeby było śmieszniej - jednego katalogu na tym udziale nie ruszyło - tam są backupy moich baz sql - pakowane zipem

 

[Putgaw]

Witam. Czy jest szansa że QNAP weźmie na siebie konsekwencje działań włamywaczy? Czy QNAP znajdzie sposób na odszyfrowanie naszych danych? Po trzecie jak uruchomić dostęp przez www?

 

[Dyba]

twój adres ip qnapa:8080/cgi-bin/
np 192.168.0.254:8080/cgi-bin/

A co do pytania co Qnap zrobi - to jest duża szansa, że się wypną.
Bo udzielają sztampowych odpowiedzi na zgłoszenia. W których podają takie ogólne porady.
Że masz aktualizować programy na Qnapie , robić backup, kupić antywirusa itp

 

[Usunięty użytkownik pigers]

Ale żeby było śmieszniej - jednego katalogu na tym udziale nie ruszyło - tam są backupy moich baz sql - pakowane zipem

mniejsze niż 20 MB ?

Czy jest szansa że QNAP weźmie na siebie konsekwencje działań włamywaczy?

A czy producenci auto biorą na siebie odpowiedzialność za wypadki z udziałem ich aut ? Nie.

Czy QNAP znajdzie sposób na odszyfrowanie naszych danych?

Otwórz ticketa i zapytaj - masz aplikacje helpdesk w AppCenter.

Po trzecie jak uruchomić dostęp przez www?

Co autor miał na myśli ?

 

[Putgaw]

Ale jak podaje adres wyskakuje mi od razu komunikat że nie mam dostępu do danych zasobów. Zanim jeszcze podam login i hasło.

Mam dostęp tylko przez aplikację z androida i dostęp do udziałów sieciowych. Nie mam dostępu przez www.

 

[Usunięty użytkownik pigers]

wlepić warna za offtop ? jak nie umiesz się logować , to otwórz swój temat , tam pomożemy - tutaj tylko skupiamy się na tym malware.

 

[Dyba]

U mnie też tak było - jak wpisałem tylko ip Qnapa - to wywalało błąd
wpisz tak
twój adres ip qnapa:8080/cgi-bin/
np 192.168.0.254:8080/cgi-bin/

Po restarcie Qnapa było już prawidłowo - czyli logowało po adresie ip

 

[Putgaw]

Ale to jest z tym związane. Kilka dni temu miałem dostęp. Dzis juz nie.

 

[Silas Mariusz]

Hi,


We just get feedback this week, and security team and R&D team cowork with users to check the root cause.

So far two issue has been found:


1. Weak password brute-force attack

2. Apps has to be updated

- Multimedia console

- Media steaming add-on

- HBS 3


We are also preparing PR for this case.

Basically the action is the same, don't export to the Internet, update fw&app, change password, change management port...


Thanks.


Best Regards,

i wedlug mnie wylaczyc narazie SQL.

 

[Dyba]

Tam akurat tak - ale w innych folderach poszyfrowało wszystko - małe i duże pliki

Ale żeby było śmieszniej - jednego katalogu na tym udziale nie ruszyło - tam są backupy moich baz sql - pakowane zipem

mniejsze niż 20 MB ?