Pomoc Qlocker - atak na Qnapy

[Damian]

Podobno nowa wersja MalwareRemovera nie usuwa wszystkich skutków włamania.

jak juz pisalem wyjac dysk podlaczyc do pc i soft do odzysku danych...

to nie zadziala, z ext nie da sie zrobic undelete

dzialalo na synolokera czemu ma nie zadzialac i tutaj ?

Powinno zadziałać. Najpierw idzie kompresja później usuwanie.

Myślicie że jest sens to gdzieś przenosić i czekać na jakieś rozwiązanie np ze strony qnapa czy reset i zapomnieć.

Malware remover już to ogarnia - nie ma co kombinować

Ktoś już rozkodował MR:

Link: https://pastebin.com/mzPfhgy4

 

[VDR]

Ktoś już rozkodował MR:

Link: https://pastebin.com/mzPfhgy4

A są gdzieś zródła r.py i re.sh ?

 

[Usunięty użytkownik pigers]

z tym to mielibyśmy kod malware'a :>

 

[VDR]

z tym to mielibyśmy kod malware'a :>

Ktoś tu w wątku pisał, że ponoć na root można było znaleźć ... ewentualnie jeszcze /tmp/qnap
Komuś jeszcze NAS szyfruje pliki ? mógłby zerknąć ?

 

[dilbercik]

z tym to mielibyśmy kod malware'a :>

Ktoś tu w wątku pisał, że ponoć na root można było znaleźć ... ewentualnie jeszcze /tmp/qnap
Komuś jeszcze NAS szyfruje pliki ? mógłby zerknąć ?

zawsze mozna wystawic jakiegos nasa na swiat w staych wersjach programow

 

[Ice]

z tym to mielibyśmy kod malware'a :>

Ktoś tu w wątku pisał, że ponoć na root można było znaleźć ... ewentualnie jeszcze /tmp/qnap
Komuś jeszcze NAS szyfruje pliki ? mógłby zerknąć ?

zawsze mozna wystawic jakiegos nasa na swiat w staych wersjach programow

mocno nad tym myślę.

 

[Damian]

Na szczęście nie mam. re.sh podobno kasuje snapshoty.

 

[dilbercik]

Ktoś tu w wątku pisał, że ponoć na root można było znaleźć ... ewentualnie jeszcze /tmp/qnap
Komuś jeszcze NAS szyfruje pliki ? mógłby zerknąć ?

zawsze mozna wystawic jakiegos nasa na swiat w staych wersjach programow

mocno nad tym myślę.

w sumie jutro luluje opornik do 251+ jak znajde dysk to wystawie zobaczymy czy zaszyfruje i czy da sie odzyskac softem do odzyskiwania
danych

 

[Ice]

Trzeba próbować. Nie ma się czarować, że każdy wolałby tego uniknąć -> w ogródku konkurencji też bywały wtopy. Wiem, bo tam byłem ;P

 

[dilbercik]

Trzeba próbować. Nie ma się czarować, że każdy wolałby tego uniknąć -> w ogródku konkurencji też bywały wtopy. Wiem, bo tam byłem

ja jestem i tu i tu

 

[Ice]

Właśnie biję się z myślami, czy zamiast czegoś ze stajni Q na backup dla VM nie wziąć RS jakiegoś. Choć nie ukrywam, że w Q mi lepiej.

 

[Deleted member Qtomek]

Myślicie że jest sens to gdzieś przenosić i czekać na jakieś rozwiązanie np ze strony qnapa czy reset i zapomnieć.

Malware remover już to ogarnia - nie ma co kombinować

Coś w to wątpie
Sorry aż musiałem napisać odpowiedź obsługi:
" Grzegorz C...
2021-04-25 22:13:07


Dzień dobry, niestety w tym wypadku pozostaje inicjacja serwera i odzyskiwania z kopii zapasowej o ile była zrobiona.

Uprzednio można też wykonać kopie danych z serwera na inne urządzenie gdyż pliki powyżej 20mb nie powinny być zaszyfrowane"

 

[VDR]

Szansa zawsze jakaś jest. Jeśli znajdzie się algorytm dzięki któremu na podstawie klucza wrzucanego na stronę w sieci TOR, dostawało się hasło do deszyfracji to jest to możliwe. Kwestia czego użyli do generowania hasła. Skoro chodzą słuchy, że był błąd na stronie w sieci TOR (który został po chwili załatany), umożliwiający uzyskanie kluczy deszyfrujących to jest szansa, że autorzy tego ataku popełnili jeszcze jakieś inne błędy. Osobiście danych jeszcze bym nie kasował - a przynajmniej zrobiłbym ich backup. Jak pokazują przykłady chociażby Darkside ransmoware, pojawiło się darmowe narzędzie od Bitdefendera, które deszyfrowało zaszyfrowane pliki. Minęło parę dni od wypłynięcia Qlockera i temat jeszcze jest gorący. Nie spieszyłbym się z usuwaniem - to zawsze można zrobić.

Na zachodnim forum - są opisy z odzyskiwaniem części danych za pomoca photorec - tych które nie nadpisały nowo tworzone 7z.

 

[Deleted member Qtomek]

Szansa zawsze jakaś jest. Jeśli znajdzie się algorytm dzięki któremu na podstawie klucza wrzucanego na stronę w sieci TOR, dostawało się hasło do deszyfracji to jest to możliwe. Kwestia czego użyli do generowania hasła. Skoro chodzą słuchy, że był błąd na stronie w sieci TOR (który został po chwili załatany), umożliwiający uzyskanie kluczy deszyfrujących to jest szansa, że autorzy tego ataku popełnili jeszcze jakieś inne błędy. Osobiście danych jeszcze bym nie kasował - a przynajmniej zrobiłbym ich backup. Jak pokazują przykłady chociażby Darkside ransmoware, pojawiło się darmowe narzędzie od Bitdefendera, które deszyfrowało zaszyfrowane pliki. Minęło parę dni od wypłynięcia Qlockera i temat jeszcze jest gorący. Nie spieszyłbym się z usuwaniem - to zawsze można zrobić.

Na zachodnim forum - są opisy z odzyskiwaniem części danych za pomoca photorec - tych które nie nadpisały nowo tworzone 7z.

Mój drogi czekam na case do dysku i planuje to zrobić.
No jak to laik mam tam zdjęcia z podróży i dokumenty, agregacja tego zajmie długo no ale i tak się uciesze z tego.
Swoją droga ta odpowiedz Qnapa jest po prostu bezczelna..

 

[omlet]

Hej, podłączam się do problemu z Qlockerem. Używam Qnapa w małej firmie (3 stanowiska, dostęp zdalny przez apki Qfile). Przed qnapem mam router oraz switcha lecz nie zadbałem w porę o Vpna czy inne zabezpieczenia jakie opisują koledzy na forum i w piątek rano zauważyłem, że jakieś 20-30% z danych mam zakodowanych. Sprawdziłem, że w procesach postępuje 7z i wyłączyłem Qnapa z sieci i zasilania...
Zakodowane dane nie są bardzo wartościowe i ich utrata jest średnio-uciążliwa. Pozostaje jednak z około 12 TB zdrowych danych, których 7z nie zdołał zakodować.

Moje rozterki to:
1. Czy po wznowieniu działania NASa, proces kodowania będzie wznowiony?
2. Wsparcie techniczne zaleciło mi zrobienie backupu danych i ponownego zainicjowania serwera. Rozważam opcje wykonania kopii zdrowych danych na inną macierz u lokalnego specjalisty lub kopię na cloud np. AWS S3 (w drugim rozwiązaniu czas transferu danych mnie martwi).
3. Czy po wyjęciu dysków i ponownym wznowieniu NASa, gdy wykonam update softu i wgram łatki aplikacji to czy dyski będą ponownie widoczne i zarazem dane dostępne? Czy bezpieczniej będzie sformatować dyski i ponownie wgrać na nie niezakodowane dane.
4. Obecny atak otworzył mi klapki na oczach i planuje się zabezpieczać dodatkowym offline backupem dla najbardziej istotnych danych. Co polecacie jako najbardziej optymalne rozwiązanie - np dysk zewnętrzny USB 4TB (ekonomicznie) lub drugi QNAP kopiujący wszystkie dane? To chyba temat na osobny temat ale może ktoś podsunie jakieś lakoniczne podpowiedzi.
5. Czy zakodowane dane można bezpiecznie zarchiwizować i utworzyć ich kopie zapasową np. po to, żeby w przypadku cudownego spadku kursu bitcoina wykupić PW lub może ktoś rozgryzie szajkę szyfrującą? Pytam trochę retorycznie, gdyż domyślam się, że same dane nie infekują kolejnych danych, tylko skrypt umieszczony w oprogramowaniu Qnapa?

Nie jestem specjalistą IT i proszę o ewentualne sugestie i sprostowanie.

 

[Dyba]

Qnapa chyba bym już nie kupił.
Zwłaszcza, że dziury były w podstawowym oprogramowaniu do backupu. Migawki nie były zabezpieczone. A sama firma ma nas w głębokim poważaniu.
Pliki .7z nic Ci nie zrobią. Nie są groźne.

 

[Mol]

@omlet najskuteczniejszą metodą backupu jest tzw hard copy - backup na nośnik nie-kasowalny np. płyta BR-XL 100GB i płytkę do sejfu ;> kiedyś jeszcze były stare poczciwe taśmy - ale zupełnie straciłem z oczu ten typ backupu (to było ok 20 lat temu) - może ktoś napisze czy są jakieś mega pojemne taśmy?

 

[domanw]

@omlet najskuteczniejszą metodą backupu jest tzw hard copy - backup na nośnik nie-kasowalny np. płyta BR-XL 100GB i płytkę do sejfu :> kiedyś jeszcze były stare poczciwe taśmy - ale zupełnie straciłem z oczu ten typ backupu (to było ok 20 lat temu) - może ktoś napisze czy są jakieś mega pojemne taśmy?

Właśnie u mnie stoi qnap oraz drugi NAS na TrueNas na którego wrzucam kopie od czasu do czasu oraz dodatkowo zrzucam najistotniejsze pliki (głównie zdjęcia + dokumanty) na taśme LTO4 SCSI na streamerze odpalonym na Ubbuntu - LTO 4 to tylko 800GB - obecnie są już LTO8 12TB (kompresja 30TB) ceny taśm są relatywnie niewielkie jednak koszt samego napędu to kosmos
mnie osobiście Qlocker nie trafił ale znajomej zaszyfrował całego Qnap'a i pliki na 2 kompach po Qsync - hasło wyciągnąłem uff

Macie jakieś dodatkowe pomysły jak zabezpieczyć Qnap'a, :
- aktualizacja QTS + aplikacje
- zmiana domyślnych portów
- Security Counselor
- VPN
- wyłączenie zbędnych usług - Qsync zostaje niestety
- okresowy reczny backup na dysk zewn
- regualrny backup HBS na zdalny NAS / OneDrive

 

[Usunięty użytkownik pigers]

Coś w to wątpie

ehh - przecież pisaliśmy - jak dane są szyfrowane, to można odzyskać (przynajmniej próbować) klucz szyfrowania
jak szyfrowanie się skończyło - to po sprawie.

 

[Deleted member Qtomek]

Coś w to wątpie

ehh - przecież pisaliśmy - jak dane są szyfrowane, to można odzyskać (przynajmniej próbować) klucz szyfrowania
jak szyfrowanie się skończyło - to po sprawie.

Ok, ja nie restartowalem NAS do czasu az mnie o to Malware Remover o to nie poprosil i napisalem do nich prosbe o eww klucz to taka odpowiedz otrzymalem.
Poza tym kazali nie restartowac NAS a koniecznie uruchomic aktualizacje Malware remover co kaze go po dzialaniu zrestartowac, ja juz jestem skolowany. Teraz taka odpowiedz od nich nie pozostawia zadnej nadziei...