Pomoc Qlocker - atak na Qnapy

[Mol]

Ja też mam w swoich logach:

 

[Usunięty użytkownik pigers]

[/usr/local/sbin] # md5sum 7z*
875e4ad0b4533da56fe4e394265bdc2c  7z
e48f8072e875059122a0aa0210b034b4  7z.orig
28b0a554944d93ab4874beae2245e317  7z.so
[/usr/local/sbin] # file 7z
-sh: file: command not found
[/usr/local/sbin] # sta
stages.pyc       stat             static_defender  station_session
[/usr/local/sbin] # sta
stages.pyc       stat             static_defender  station_session
[/usr/local/sbin] # stat 7z
  File: 7z
  Size: 1449            Blocks: 8          IO Block: 4096   regular file
Device: 11h/17d Inode: 264659701   Links: 1
Access: (0755/-rwxr-xr-x)  Uid: (    0/   admin)   Gid: (    0/administrators)
Access: 2021-04-26 15:14:55.000000000
Modify: 2021-04-26 14:51:35.000000000
Change: 2021-04-26 14:51:35.000000000

[/usr/local/sbin] # stat 7z.orig
  File: 7z.orig
  Size: 476880          Blocks: 936        IO Block: 4096   regular file
Device: 11h/17d Inode: 31347       Links: 1
Access: (0755/-rwxr-xr-x)  Uid: (    0/   admin)   Gid: (    0/administrators)
Access: 2021-04-26 04:00:00.000000000
Modify: 2021-03-02 00:03:21.000000000
Change: 2021-04-23 10:00:04.000000000

 

[Mol]

Mam na WSZYSTKICH QNAPach !!!!
Nawet na urządzeniach które nie były wystawione do neta, nie miały upnp!!!
WTF! Na szczęście nic nie zostało zaszyfrowane.

 

[Usunięty użytkownik pigers]

tak analizuje log z malware removera
nie ma tam nic , poza moimi skryptami do dockera ...

cat 7z.log | grep -vi export | grep -v Uid

/proc/20952:/bin/sh
/proc/20905:/bin/sh
/proc/20900:/bin/sh
/proc/17206:/bin/busybox
/proc/14343:/bin/sh
/proc/20905:/bin/sh
/proc/20900:/bin/sh
/proc/17206:/bin/busybox
/proc/15551:/bin/sh
/proc/20905:/bin/sh
/proc/20900:/bin/sh
/proc/17206:/bin/busybox
/proc/15679:/bin/sh
/proc/20905:/bin/sh
/proc/20900:/bin/sh
/proc/17206:/bin/busybox
/proc/17270:/bin/sh
/proc/20905:/bin/sh
/proc/20900:/bin/sh
/proc/17206:/bin/busybox
/proc/27175:/bin/sh
/proc/20905:/bin/sh
/proc/20900:/bin/sh
/proc/17206:/bin/busybox
/proc/28023:/bin/sh
/proc/20905:/bin/sh
/proc/20900:/bin/sh
/proc/17206:/bin/busybox
/proc/19868:/bin/sh
/proc/20905:/bin/sh
/proc/20900:/bin/sh
/proc/17206:/bin/busybox
/proc/20000:/bin/sh
/proc/20905:/bin/sh
/proc/20900:/bin/sh
/proc/17206:/bin/busybox
/proc/21144:/bin/sh
/proc/20905:/bin/sh
/proc/20900:/bin/sh
/proc/17206:/bin/busybox
/proc/22367:/bin/sh
/proc/20905:/bin/sh
/proc/20900:/bin/sh
/proc/17206:/bin/busybox
/proc/5969:/bin/sh
/proc/20905:/bin/sh
/proc/20900:/bin/sh
/proc/17206:/bin/busybox
/proc/6043:/bin/sh
/proc/20905:/bin/sh
/proc/20900:/bin/sh
/proc/17206:/bin/busybox
/proc/13539:/bin/sh
/proc/20905:/bin/sh
/proc/20900:/bin/sh
/proc/17206:/bin/busybox
/proc/13972:/bin/sh
/proc/20905:/bin/sh
/proc/20900:/bin/sh
/proc/17206:/bin/busybox
/proc/10173:/bin/sh
/proc/10130:/bin/sh
/proc/10128:/bin/sh
/proc/17206:/bin/busybox
/proc/15350:/bin/sh
/proc/10130:/bin/sh
/proc/10128:/bin/sh
/proc/17206:/bin/busybox
/proc/15472:/bin/sh
/proc/10130:/bin/sh
/proc/10128:/bin/sh
/proc/17206:/bin/busybox
/proc/15505:/bin/sh
/proc/10130:/bin/sh
/proc/10128:/bin/sh
/proc/17206:/bin/busybox
/proc/15600:/bin/sh
/proc/10130:/bin/sh
/proc/10128:/bin/sh
/proc/17206:/bin/busybox
/proc/15958:/bin/sh
/proc/10130:/bin/sh
/proc/10128:/bin/sh
/proc/17206:/bin/busybox
/proc/16006:/bin/sh
/proc/10130:/bin/sh
/proc/10128:/bin/sh
/proc/17206:/bin/busybox
/proc/16939:/bin/sh
/proc/10130:/bin/sh
/proc/10128:/bin/sh
/proc/17206:/bin/busybox
/proc/16973:/bin/sh
/proc/10130:/bin/sh
/proc/10128:/bin/sh
/proc/17206:/bin/busybox
/proc/17013:/bin/sh
/proc/10130:/bin/sh
/proc/10128:/bin/sh
/proc/17206:/bin/busybox
/proc/17064:/bin/sh
/proc/10130:/bin/sh
/proc/10128:/bin/sh
/proc/17206:/bin/busybox
/proc/17717:/bin/sh
/proc/10130:/bin/sh
/proc/10128:/bin/sh
/proc/17206:/bin/busybox
/proc/17750:/bin/sh
/proc/10130:/bin/sh
/proc/10128:/bin/sh
/proc/17206:/bin/busybox
/proc/18191:/bin/sh
/proc/10130:/bin/sh
/proc/10128:/bin/sh
/proc/17206:/bin/busybox
/proc/18276:/bin/sh
/proc/10130:/bin/sh
/proc/10128:/bin/sh
/proc/17206:/bin/busybox
/proc/23493:/bin/sh
/proc/23434:/bin/sh
/proc/23431:/bin/sh
/proc/17206:/bin/busybox
/proc/28689:/bin/sh
/proc/23434:/bin/sh
/proc/23431:/bin/sh
/proc/17206:/bin/busybox
/proc/28739:/bin/sh
/proc/23434:/bin/sh
/proc/23431:/bin/sh
/proc/17206:/bin/busybox
/proc/28773:/bin/sh
/proc/23434:/bin/sh
/proc/23431:/bin/sh
/proc/17206:/bin/busybox
/proc/28911:/bin/sh
/proc/23434:/bin/sh
/proc/23431:/bin/sh
/proc/17206:/bin/busybox
/proc/29413:/bin/sh
/proc/23434:/bin/sh
/proc/23431:/bin/sh
/proc/17206:/bin/busybox
/proc/29478:/bin/sh
/proc/23434:/bin/sh
/proc/23431:/bin/sh
/proc/17206:/bin/busybox
/proc/30618:/bin/sh
/proc/23434:/bin/sh
/proc/23431:/bin/sh
/proc/17206:/bin/busybox
/proc/30651:/bin/sh
/proc/23434:/bin/sh
/proc/23431:/bin/sh
/proc/17206:/bin/busybox
/proc/30741:/bin/sh
/proc/23434:/bin/sh
/proc/23431:/bin/sh
/proc/17206:/bin/busybox
/proc/30799:/bin/sh
/proc/23434:/bin/sh
/proc/23431:/bin/sh
/proc/17206:/bin/busybox
/proc/31391:/bin/sh
/proc/23434:/bin/sh
/proc/23431:/bin/sh
/proc/17206:/bin/busybox
/proc/31424:/bin/sh
/proc/23434:/bin/sh
/proc/23431:/bin/sh
/proc/17206:/bin/busybox
/proc/31872:/bin/sh
/proc/23434:/bin/sh
/proc/23431:/bin/sh
/proc/17206:/bin/busybox
/proc/31909:/bin/sh
/proc/23434:/bin/sh
/proc/23431:/bin/sh
/proc/17206:/bin/busybox

 

[omlet]

Dzięki za odpowiedź @Dyba
Próbuję zatem zrobić backup na dysk 10TB (oraz inne mniejsze dyski) za pomocą USB, który w przyszłości będzie u mnie działał jako off-line backup.
Również zgrywam dane zainfekowane gdyby w przyszłości wypłynęły kody do odkodowania.

FYI Pojawiła się stronka QNAP qLocker Decryption Services – 7zip Decode qLocker Password gdzie ktoś proponuje odszyfrowanie 7z. Co o tym myślicie?

 

[Usunięty użytkownik pigers]

gówno - złamanie 32 znaków małe duże litery + cyfry to miliardy godzin ~32 lat - nawet nie patrz na to

 

[Unicorn]

Mam na WSZYSTKICH QNAPach !!!!
Nawet na urządzeniach które nie były wystawione do neta, nie miały upnp!!!
WTF! Na szczęście nic nie zostało zaszyfrowane.

Czesc, ja mialem ten artykul MR2102 na 2 QNAPach i obawiam sie najgorszego, ale co mnie martwi najwiecej, ze wszedzie pisza ze migawki sa teraz do niczego, bo tez zniszcza. Kupilem dlatego TR004 i mam tam tylko migwaki i teraz boje sie ze skasuje ten ransomware tez. A smutne bo QNAP wciaz mowi jak migawki sa super itd.

teraz kontroluje co pare minut QNAPy i wciaz wykonuje Malware Remowe, zeby cos robic, bo niewiem co.

 

[maks87]

U mnie na dwóch QNAPach przed chwilą skanowałem i też ten MR2102 - a automatyczne skanowanie które robiło się w nocy nic nie wykryło, więc to coś nowego.

Ale dane teoretycznie mam wszystkie. Co więc to MR2102 robi?

 

[CrazyMario]

U mnie na dwóch QNAPach przed chwilą skanowałem i też ten MR2102 - a automatyczne skanowanie które robiło się w nocy nic nie wykryło, więc to coś nowego.

Ale dane teoretycznie mam wszystkie. Co więc to MR2102 robi?

Też jestem ciekaw.

 

[VDR]

gówno - złamanie 32 znaków małe duże litery + cyfry to miliardy godzin ~32 lat - nawet nie patrz na to

Chyba, że znają algorytm na podstawie ktorego id_clienta generuje password do 7z Albo to kolejny atak bazujacy na tym zeby zarobic na naiwnych, ktorzy gotowi sa zaplacic by odzyskac dane A po wpłacie rozpłyną się we mgle

Z ciekawości chyba zapodam na moim skanowanie - zobaczymy czy cos znajdzie na NAS ktory byl odlaczony od netu przez 99.99%

A swoja drogą to eCh0raix nie tworzył 7z tylko .encrypt - wiec mozecie i tego szukac w razie W

 

[Damian]

Kto ma pomysł w czym może być napisana poniższa reguła?

Przy edycji vim za dużo nie widać:

 

[gkowal]

Wydaje mi się iż ten wpis w logu jest informacją, że Malware Remover podmienił plik binarny /usr/local/sbin/7z na skrypt shelowy, a oryginał przemianował na /usr/local/sbin/7z.orig
U mnie czas wpisu w logu potwierdza się z czasem utworzenia skryptu /usr/local/sbin/7z

No chyba że sam Malware Remover jest roznosicielem wirusów

 

[Usunięty użytkownik pigers]

@Damian - przepuść to przez strings

 

[Deleted member Qtomek]

gówno - złamanie 32 znaków małe duże litery + cyfry to miliardy godzin ~32 lat - nawet nie patrz na to

Chyba, że znają algorytm na podstawie ktorego id_clienta generuje password do 7z Albo to kolejny atak bazujacy na tym zeby zarobic na naiwnych, ktorzy gotowi sa zaplacic by odzyskac dane A po wpłacie rozpłyną się we mgle

Z ciekawości chyba zapodam na moim skanowanie - zobaczymy czy cos znajdzie na NAS ktory byl odlaczony od netu przez 99.99%

A swoja drogą to eCh0raix nie tworzył 7z tylko .encrypt - wiec mozecie i tego szukac w razie W

Z tego co czytalem ludzie dostaja kody po zaplacie tych dwoch kafli na poczatku byla dziura w systemie i Jack Cable zdolal wydobyc 50 kluczy.

 

[Usunięty użytkownik pigers]

Jack Cable zdolal wydobyc 50 kluczy.

to już załatane

 

[Damian]

@Damian - przepuść to przez strings

Aż tak się nie znam (c++). Co oni tam wrzucili binarkę 7zip? I chyba to wygląda na fałszywy alarm.

 

[Usunięty użytkownik pigers]

to akurat polecenia w normalnym środowisku

przeczytaj polecenia w skryptach MR

 

[Damian]

Wygląda, że sprzątają: https://forum.qnap.com/viewtopic.php?f=45&t=160849&start=360

 

[Ice]

@pigers Qlocker got you? Jak sytuacja?

 

[Usunięty użytkownik pigers]

nope - szybki find nic nie wskazał - podejrzewam ze to kiepsko zrobiony log