Qnap ramt af Qlocker randomware

Diverse d.  11. januar. 2022, skrevet af freak_master
Vist: 658 gange.

freak_master
 
Redaktør
Tilføjet:
11-01-2022 09:35:41
Svar/Indlæg:
6367/477

Qnap har et åbent sikkerhedshul i deres HBS3. HBS3 er et program i NAS'en som synkroniserer data mellem andre Qnap NAS. Jeg har kørt det som en ekstern backup udenfor huset, og delt data med en anden server, så vigtige ting lå begge steder. Det betyder så at fordi Qnap har haft et åbent sikkerhedshul kan man ligge sin ransomware ind.

Softwaren er blevet døbt Qlocker, og man har faktisk flere muligheder hvis man er blevet ramt.

Både den server jeg synkroniserer med, og min egen er blevet ramt, så familiens billeder er pludselig krypteret og de vil have 0.02BTC igennem Tor netværket for at få sine data.

Flere har meldt tilbage efter at have betalt. Nogen får aldrig en kode, mens nogen andre får en kode der virker, det er 50/50. I skrivende stund er 0.02BTC cirka 5500kr.

Hvis man opdager det imens at Qlocker kører må man ikke slukke, der kan køres et script:

cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;

Blot login med SSH, tryk på Q + enter og y + enter og skriv det ind imens Qlocker kører. Scriptet sniffer det password der krypteres med.

Qlocker går efter filer under 20MB så det tager ofte ikke lang tid at lave arbejdet, så man skal være hurtig.

Opdager man først Qlocker senere som mig, så er der en anden vej.

Qlocker ligger dine filer ind i et .7z arkiv som har et password. Imens den gør det sletter den de originale filer, og som vi ved så er slettede filer ikke helt slettet alligevel.

En slettet fil bliver blot "markeret" til at bliver overskrevet på disken, så det er VIGTIGT at der ikke bliver skrevet mere til diskene, da det kan overskrive den gamle data der stadig ligger der.

Igennem ubuntu kan man mount et netværksdrev, og køre photorec for at få filerne igen, dette er lykkedes mig til dels, jeg kører stadig recovery, og da jeg har 16TB data den skal igennem tager det +360 timer, men jeg kan allerede nu se en MASSE filer der er "krypteret".

Slettede data indeholder dog ikke navne eller filstruktur længere, men et script kan kigge hele NAS'ens filer igennem for CRC info på filerne, og matcher det noget der er fundet kan dette slette .7z filen, omdøbe og ligger den korrekte fil tilbage.

 

Jeg skriver fordi jeg har været i panik i 2 dage nu, næsten uden søvn. Data jeg har er blandt andet billeder og videoer af min afdøde nevø der kun blev 5 år - uvurderlig data for mig og familien.

Heldigvis har jeg nogle eksterne backups på eksterne diske også, så jeg er ikke HELT på marken.

Hvis nogen har Qnap NAS så har Qnap lukket hullet, så sørg for at opdaterer firmware, HBS3 softwaren (alle NAS kommer med det) samt Malware scanner, da denne er opdateret til at fange disse angreb også.

Du kan læse min længere historie på engelsk her: https://www.bleepingcomputer.c...

Hold jeres data sikker! Lav ekstern backup der evt. ligger i pengeskab, hav jeres data 2 steder hvis den er rigtig vigtig! Ofte får man ikke 100% data tilbage. Mange melder om at have reddet 70% på denne måde.

NielsPeter
 
Elitebruger
Tilføjet:
12-01-2022 19:29:13
Svar/Indlæg:
242/41

Tak for en fin guide 🙂

Gad vide om andre ransomware laver samme nummer med at slette filerne efter kryptering. Har før været heldig med genskabelse af slettede filer som var helt væk.

Alle mine familie billeder bliver gemt på 2 ens 256GB usb keys, har den ene hjemme og den anden på arbejdet(For det tilfælde at huset brænder ned og jeg vælger børnene før billederne 🙂 )



freak_master
 
Redaktør
Tilføjet:
13-01-2022 08:25:10
Svar/Indlæg:
6367/477

Jeg håber at det kan hjælpe nogen ihvertfald!

Det er altid en god strategi at gemme to eller flere steder, det er nok også det der har reddet mig. 😉



Silent
 
Skribent
Tilføjet:
13-01-2022 09:10:12
Svar/Indlæg:
3222/204

#0 Kæft en omgang, en af mine venner har været ramt af det samme på sin QNAP.

Har din QNAP været åben direkte på WAN siden?

Jeg har 7-9-13 sluppet, og min QNAP er fuldt ud opdateret samt med 3-2-1 backup da jeg også har ting jeg IKKE vil miste.

 

 



freak_master
 
Redaktør
Tilføjet:
13-01-2022 20:42:48
Svar/Indlæg:
6367/477

Det er en meget ubehagelig ting at skulle igennem.

Min NAS har været åben på port 80 da qfile på telefonen bruger denne til automatisk upload af billeder der bliver taget, interfacet har også været åben, men portene brugt til HBS3 er lukket.

Hvis du har opdateret bør du ikke kunne blive ramt af Qlocker, men Qlocker2 er vidst stadig en mulighed, den er dog noget sværer at få genskabt data med, så en offline backup er helt sikkert løsningen.