Pomoc Qlocker - atak na Qnapy

[Usunięty użytkownik pigers]

już widzę zgłoszenia - nas nie usypia się po instalacji

odpowiedź: no ciekawe jak logi mają być monitorowane , jak nas jest uśpiony !

 

[Esc]

Coś czuje, że jutro będzie następna aktualizacja HBS3 tym razem żeby ukryć swoich ludzi ... zaczyna sie coraz lepiej.

Jak można wyczytać na stronie [RANSOMWARE] 4/20/2021 - QLOCKER - Page 31 - QNAP NAS Community Forum

infotecmb » Thu Apr 29, 2021 3:33 am

The latest HBS 3 Hybrid Backup Sync 16.0.0419 has 1215 lines of code with the word "walter".

Go to your QNAP and issue the following command (you can also download attached output):

cd /share/CACHEDEV1_DATA/.qpkg/HybridBackup/ ; grep -r -i walter *

Looks like "walter" is that hard-coded password when you see the following:

"pwd_plain": "walter"
"admin_pwd": "walter"
NAS_PWD=walter
SERVER_PLAIN_PWD=walter
enc_pwd = 'RWxKZEJRUUk=' # enc 'walter" then b64
'enc_pwd': 'VAEC' # --> 'walter' --> fw ecrypted
'enc_pwd': 'ElJdBQQI' # --> 'walter' --> fw decrypted
"name": "waltershao"

I have not checked if and how it works because Hybrid Backup Sync is currently disabled on my QNAPs.

The code has 27 occurrences of e-mails: waltershao@gmail.com or walterentry20140225@gmail.com in the code.

According to LinkedIn, Walter Shao is QNAP Technical Manager since 2013

 

[Damian]

Też to czytałem, ale założyłem, że dotyczy to zbugowanej wersji. Ale faktycznie to ostatnia. Szkoda słów...

 

[Usunięty użytkownik pigers]

w mojej PRAWIE najświeższej wersji QTS , występuje to 365 razy :O

 

[Unicorn]

występuje to 365 razy :O

Na kazdy dzien wychodzi jeden

S nowym firmware mam klopot ponownie "polaczyc" TR-004 na ktorym mam snapshoty, pisze ze musze znow wszystko nakonfigurowac i zrobic nowy volumin i zrobic wszystko od poczatku - to znaczy ze wszystkie snapshoty moge wyrzuczic do smiecia i zaczac od zera :-(

 

[Ice]

Dla świętego spokoju -> HBS3 off.

 

[infomedia]

Dla świętego spokoju -> HBS3 off.

No tylko co w zamian? Czym zrobić kopie na inny (zdalny) qnap?

 

[Ice]

Ja polecam logmana -> wrzuciłem na forum. Chwilę trzeba się pomęczyć i monitorować co się dzieje.

 

[Damian]

Tylko, że koledze wyżej chodziło o robienie kopii a nie o monitorowanie. Ja zostawiam włączonego HB3 - nie ma alternatywy.

 

[Ice]

Tak, włączony HBS3 i logman, o to mi chodziło. Skrót myślowy, za za krótki.

 

[Mol]

Dziś się zaktualizowała Multimedia Console ... ale HBS3 nadal "stary" ech
Co do dyskusji nt ruterów to nieustająco polecam PfSense. Ma też swoje wady - np od wersji 2.5.1 nie działa poprawnie NAT - ale da się obejść przez downgrejd ;>

 

[infomedia]

Tak się zastanawiam jak by tu zabezpieczyć lokalne kopie.
Do tej pory kopia się robiła na podłączony zewnętrzy dysk USB, który był cały czas podpięty, ale to nie chroni przed szyfrowaniem.
Po zakończeniu kopii dysk może zostać automatycznie odłączony, ale czy można go jakoś automatycznie (zdalnie) podłączyć?
Jak na razie przychodzi mi tylko jeden pomysł z zastosowaniem dużej obudowy na dysk USB 3,5" z zewnętrznym zasilaniem, podłączonym do gniazdka "smart", które może o odpowiedniej godzinie lub zdalnie na żądanie podać napięcie, wtedy dysk się uaktywni, zrobi kopie i potem prąd się odłączy.
A czy Qnap może jakoś ukryć podpięty dysk USB tak jak robi to program do backupu wbudowany w Windowsa?

Macie jakieś pomysły?

 

[Usunięty użytkownik pigers]

A czy Qnap może jakoś ukryć podpięty dysk USB tak jak robi to program do backupu wbudowany w Windowsa?

możesz odmontować ten dysk umount /dev/blabla

 

[kadwa2]

Czy jest szansa że QNAP weźmie na siebie konsekwencje działań włamywaczy?

A czy producenci auto biorą na siebie odpowiedzialność za wypadki z udziałem ich aut ? Nie.

Powinni, jeśli z ich niedbalstwa, zaniedbania doszło do usterki, która w konsekwencji doprowadziła do wypadku. Przykładem masowe akcje serwisowe na koszt producenta, gdzie wymieniają wadliwe elementy. Sam już przez dwóch producentów byłem wzywany do likwidacji i to nie jednej wady.

To z tym bezpieczeństwem to trochę tak, że kupujesz auto 500 koni i jak się rozjebiesz to nie Twoja wina tylko producenta bo za mocne auto a Ty nie umiesz jeździć.

Zły przykład, bo co z tego że auto ma 500 koni, gdy przy prędkości 50 km/h rozpada się i zaczyna płonąć. Czyja jest wina?

 

[Ice]

Nasy jeszcze nie gorają <huehuehue gwara>.

 

[maxweber]

Pierdziele generalnie qnap dał ciała. Ciekawe czy podadzą w końcu jakieś normalne informacje.
Według mnie bug był nie w HBS a w qfirewall który miał blokować niepożądane ipki a przepuszczał te za którymi stali ci od ataku qlockerem
Ja postawiłem od nowa system i póki co gra i nie buczy nic.
Napewno nie wystawie już go na świat choć wiadomo ma furtke otwarta zawsze bo żeby być bezpiecznym trzeba najlepiej odciąć zasilanie i wyjąć dyski

 

[Usunięty użytkownik pigers]

Według mnie bug był nie w HBS a w qfirewall

3/4 ludzi NIE MA ZAINSTALOWANEGO QFIREWALL - więc TWOJA teoria jest warta tyle szczekanie psa na wiatr

Napewno nie wystawie już go na świat choć wiadomo ma furtke otwarta zawsze bo żeby być bezpiecznym trzeba najlepiej odciąć zasilanie i wyjąć dyski

aha - sprzedaj nasa i problem z głowy xD

 

[lolo]

Polska język, trudna język...

 

[badziewiak]

W qnap da się ustawić, żeby ftp był tylko do zapisywania bez możliwości listowania. Może postawić jakąś malinkę, jeżynkę czy banana z podłączonym dyskiem, linuxem, skonfigurować ftp jak wyżej i będzie backup na najbardziej krytyczne dane?

 

[Usunięty użytkownik pigers]

@badziewiak - ale do czego pijesz ? prawo WRITE only ?