Pomoc Qlocker - atak na Qnapy

[piotros]

Po dzisiejszym upgradzie firmware cos mnie tknęło zeby sprawdzic czy napewno wszystko powyłączane. A tu widze myqnapcloud ENABLED. Co jest grane, na 100% miałem to wyłączone.

potwierdzam, u mnie też włączone, a na 100 było wyłączone

U mnie to samo

Ja Wam wierzę. W moim przypadku support twierdził, że jeśli nie wyłączyłem domyślnych autoaktualizacji to powinny działać. Nawet nie przyszłoby mi do głowy żeby tego szukać. Uprawnienia do albumów w PhotoStation też zawsze muszę dwa razy ustawiać, bo po pierwszym zawsze jest inaczej niż zaznaczyłem.

 

[Usunięty użytkownik pigers]

U mnie to samo

sprawdzcie changeloga - jak nie ma tam pół słowa o tym

 

[jasperus]

potwierdzam, u mnie też włączone, a na 100 było wyłączone

U mnie to samo

U mnie tez było wyłączone na 100% a po upgradzie nagle online. Wiedziałem, ze sie nie myliłem.
edit:// odinstalowałem myqnapcloud. Moze nie wróci zza grobu.

 

[Ice]

U mnie było wyłączone przed updatem, po update - nadal wyłączone.

 

[VDR]

U mnie wyłączone po upgrade, ale może dlatego, że mój QNAP nie zna już mojego QNAP ID

 

[maks87]

U mnie też QNAP nie zna mojego QNAP ID - po całej akcji z szyfrowaniem danych po prostu wyrejestrowałem QNAPy (na razie dwa, trzeci jeszcze chwilę musi mieć dostęp do myqnapcloud) i mam z tym spokój - a przynajmniej tak mi się wydaje

Chociaż oczywiście w QuFirewall codziennie po kilka tysięcy prób logowania. I się zastanawiam jak to możliwe, bo pozmieniałem też oczywiście porty do logowania. Wynika z tego, że "to coś" co atakuje nie próbuje tylko na defaultowych portach ale też skanuje pozostałe?

 

[VDR]

Chociaż oczywiście w QuFirewall codziennie po kilka tysięcy prób logowania. I się zastanawiam jak to możliwe, bo pozmieniałem też oczywiście porty do logowania. Wynika z tego, że "to coś" co atakuje nie próbuje tylko na defaultowych portach ale też skanuje pozostałe?

Nie tyle atakuje co "próbkuje". To z reguły botnety szukające znanych podatności, szukające prostych hasel typu admin/1qaz2wsx i lecace adres po adresie w poszukiwaniu czegoś o co będzie można się zaczepić i wykorzystać do ataku.

 

[piotros]

Trochę mnie ten temat botnetów zastanawia w kontekście tytułowego ataku. Czy są jakieś analizy tego jak i kogo zaatakował Qlocker? Tzn. czy oberwało się tylko tym, którzy mieli aktywną usługę myqnapcloud czy osoby korzystające z alternatyw w postaci ddns-ów takich jak no-ip też zostały zaatakowane?

 

[_Floyd]

@piotros Ogólnie winny jest Qnap i jego oprogramowanie. Jak wystawisz na świat Qnapa, nie musi być przez myqnapcloud, wystarczy samo IP i otwarte porty to już "nasłuchiwacze" mają co robić. Stąd propozycja aby wyciągnąć kabel od Qnapa, przez co mam na myśli by zostawić tylko jedną możliwość połączenia się z Qnapem przez VPN. A więc ograniczasz możliwość niechcianym osobom dostęp do Qnapa. Łączenie przez VPN z zewnątrz jest najbardziej chyba bezpiecznym rozwiązaniem. Jeszcze lepszym jest odłączenie Qnapa i praca tylko przez LAN.

Ja osobiście uważam że pierwsze co powinien zrobić Qnap to na wzór konkrecji, możliwość zmiany użytkownika admin. @Damian w innym wątku podał ciekawe źródła infromacji dlaczego tak się stało. Ogólnie program którego korzystam czyli HBS3 miał taką dziurę że osoba która na tym się zna, pewnie jak to zobaczyła nie uwierzyła że coś takiego mogło powstać. Ostatni atak był również spowodowany wadliwym oprogramowaniem Qnapa, Music Station (swoją droga nie polecam).

Po ataku z Music Station Qnap uruchomił marketing i proponował ochronne swojego NAS migawkami. Jak się okazało ten atak pokazał że migawki są tak samo warte co brak dodatkowej kopi jeszcze gdzieś.

Ja bym się zastanowił by ograniczyć wejście innym już po stronie Routera, bo jeśli ktos próbuje wejść na Qnap to znaczy że "poszukiwacze" moga robić co chcą. Zaczął bym zabezpieczać swoją sieć już tutaj.

Ogólnie jak mam Twoje IP to sa strony www na którym mogę sprawdzić jakie masz otwarte porty w routerze itp.

 

[VDR]

Ogólnie jak mam Twoje IP to sa strony www na którym mogę sprawdzić jakie masz otwarte porty w routerze itp.

Do tego nie potrzeba stron

 

[badziewiak]

Po dzisiejszym upgradzie firmware cos mnie tknęło zeby sprawdzic czy napewno wszystko powyłączane. A tu widze myqnapcloud ENABLED. Co jest grane, na 100% miałem to wyłączone.

potwierdzam, u mnie też włączone, a na 100 było wyłączone

Ja to wyłączyłem zaraz jak się dowiedziałem o qlocker. Teraz patrzę i qrwa mam to włączone!

 

[Roch]

Szukam wszędzie i niestety nie znalazłem odpowiedzi, czy jest szansa za rozszyfrowanie danych bez płacenia? Zaszyfrowało mi w dn. 21.04, upgrade zrobiłem 24.04 po info w necie, że coś takiego jest, i nie sprawdziłem czy pliki zaszyfrowane, bo to qnap domowy, na którym trzymamy zdjęcia rodzinne (jako facet w zdjęcia za często nie klikam). Żona mi od tygodnia zgłasza, że nie wyświetla jej zdjęć w QPhoto na iPhonie. Sprrawdzam, a tam same 7z. Niestety kopii brak. bo tylko zdjęcia. I niestety aż zdjęcia, bo wszystkie od 20 lat. C

 

[piotros]

@Roch niektórym udało się odzyskać hasło, a niektórzy odzyskali dane z dysku przy użyciu PhotoRec. Przewertuj ten wątek, a oprócz tego mogą Cię zainteresować te linki:

Massive Qlocker ransomware attack uses 7zip to encrypt QNAP devices

QLOCKER - FULL GUIDE how to get your Data back, QNAP NAS Hack - Ransomware Help & Tech Support


Link: https://www.youtube.com/watch?v=aq_cIdY_ksQ


Link: https://www.youtube.com/watch?v=qv9mri_xHg0

 

[Roch]

@piotros Dzięki, będę sprawdzał, bo szkoda historii tylu lat. Głupota, bez beackupu, ale nigdy nie było czasu, bo to tylko zdjęcia.
Uważam, że to błąd Qnapa - w końcu to rozwiązanie dla użytkowników domowych (TS-251), reklamowane jako wygoda przechowywania danych, udostępniania i bezpieczeństwo. A wszystko szlak trafił. Powinni znaleźć rozwiązanie, aby wszystkim dane wróciły (może nawet sami zapłacić hakerom i za darmo udostępnić klucze wraz z oprogramowaniem, które to łatwo przywróci). Dla mnie to jest na pewno ostatni Qnap.

 

[Usunięty użytkownik pigers]

poważnie ? pisz do BMW żeby Ci oddali kase za auto bo ma dziurę w oponie

 

[Roch]

Gdzie w sieci wyciekło jaką furą jeżdżę?
Nie oczekiwałbym kasy za auto, tylko wymiany wadliwej opony. A jakby opona była wadliwa, to wymieniliby pewno - przecież właśnie są akcję serwisowe, że wymieniają wadliwe elementy (właśnie mi wymieniają wahacze przednie na gwarancji, a wiadomo, że polskie drogi dziurawe są W przypadku QNAPA - nie oczekuje, że oddadzą mi kasę za QNAPA, tylko naprawią swój błąd. Tutaj problem powstał, bo wykorzystywało się NASa zgodnie z ich marketingiem - udostępniaj łatwo, bezpiecznie, a tak i tak większość funkcji była wyłączona. To tak jakby BMW sprzedawało samochody z dziurawymi oponami, tylko nikt takiego samochodu nie odebrałby z salonu.

 

[Usunięty użytkownik pigers]

no popatrz - jak teraz zmieniło Ci się :O

tłuczemy - NAS to nie backup <KROPKA>

poczytaj na forum S (jak działa xD) co było z Synolockerem
jak poszukasz głębiej, to sprawdź jakie adresy IP łączyły się do Twojego QNAPa i co tam działa.

 

[Ice]

@piotros Dzięki, będę sprawdzał, bo szkoda historii tylu lat. Głupota, bez beackupu, ale nigdy nie było czasu, bo to tylko zdjęcia.
Uważam, że to błąd Qnapa - w końcu to rozwiązanie dla użytkowników domowych (TS-251), reklamowane jako wygoda przechowywania danych, udostępniania i bezpieczeństwo. A wszystko szlak trafił. Powinni znaleźć rozwiązanie, aby wszystkim dane wróciły (może nawet sami zapłacić hakerom i za darmo udostępnić klucze wraz z oprogramowaniem, które to łatwo przywróci). Dla mnie to jest na pewno ostatni Qnap.

Porty zmienione? Jakieś dodatkowe zabezpieczenia były? Internet to niebezpieczne miejsce.
Co do auta, @pigers jest hakierem więc wie wszystko.

 

[Roch]

Nie wszystko wie, poszedłem sprawdzić i dziury jednak nie ma

W tym okresie za dużo się nie łączyło, ale pewni trzeba by sprawdzać głębiej.

 

[badziewiak]

Cieszcie się gamonie, że jest sposób na odzyskanie danych i nie wystawiajcie swoich urządzeń na świat! KROPKA! To tak, jakbym zostawił drzwi wejściowe niezamknięte na zamek i pojechał sobie na wakacje.