PTT評價

Re: [情報] QNAP NAS遭勒索軟體盯上

看板Storage_Zone標題Re: [情報] QNAP NAS遭勒索軟體盯上作者
banman
(班曼沃爾)
時間推噓20 推:22 噓:2 →:49

大家

那個不幸的,這次我的QNAP中勒索了。
4/21 下午四點多中招,今天早上才發現
整個NAS裡面低於20MB的檔案都被鎖定成.7z的壓縮檔。
並且該目錄下有個 !!!READ_ME.txt 文字檔
裡面有付贖金的方式跟要提供的金鑰
(我早上已有回報QNAP的支援需求單,還在等待)
(看網路上的內容,贖金是0.01比特幣)

目前還沒有什麼中文的網站有報導。
4/23更新 有中文的網站報導
新聞標題:威聯通NAS遭勒索軟體Qlocker攻擊,疑似甫修補的重大漏洞惹禍
https://www.ithome.com.tw/news/144004

可以參考
QNAP論壇的用戶回饋裡面的這篇。
https://forum.qnap.com/viewtopic.php?f=45&t=160849

或是下面這篇這個網址
標題是:
Massive Qlocker ransomware attack uses 7zip to encrypt QNAP devices

(抱歉,沒有縮網址)
https://www.bleepingcomputer.com/news/security/massive-qlocker-ransomware-
attack-uses-7zip-to-encrypt-qnap-devices/
↑這裡面好像說有找到破解勒索的金鑰方法了,但4/22晚上10點前才會提供。
(美東時間10am)
4/23更新 這個方式確定失效了,被對方防堵


曾經我以為有設定快照,就沒什麼問題了。
但這次中招後,我想要恢復快照時,卻發現我的快照儲存也被處理掉了。
所以 我之後除了原本NAS裡面放快照之外,也會在外部儲存那邊放快照備份

希望大家的QNAP NAS在這波 沒有中。
也希望大家可以多提供 如何可以降低中獎的方法。
(我之前都沒注意,沒像那些文章內的把一些關掉或刪掉)

4/23 17:25更新,我4/22早上申請的QNAP需求 4/22下午開啟遠端協助
QNAP應該是剛剛16:00~17:25左右有進去遠端協助 剛傳過來回覆做一個段落。
以下是QNAP回覆內容的部分
XX先生你好

不好意思讓你久候,連線NAS查看加密動作已告一段落(請參考附檔截取的資訊),請參考步驟將NAS重新初始化以恢復使用,造成不便深感抱歉。


心得: 1. 真的要準備贖金去贖回我的資料了 (來去研究買幣跟提供..)
2. 要多備份(離線 異地)
3. 該說攻擊方的贖金設定還蠻合理的嗎?? (比起硬碟壞掉的救援撈資料差不多)


--

※ PTT 留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.130.229.53 (臺灣)
PTT 網址

evilufox 04/22 15:39高調一下 nas是大家重要的備份與防勒索病毒手段

evilufox 04/22 15:40連nas都會中的話 一些防禦機制需要讓大家都知道較好

andy199113 04/22 15:45高調

B0988698088 04/22 15:53一般入侵也只是因為你當作網路硬碟用而已 根本不是

B0988698088 04/22 15:53因為這些病毒有多神能辨識出你是不是Nas

flypenguin 04/22 15:53連快照備份都被清掉是怎麼辦到的 @@?

flypenguin 04/22 15:54好像要登入 NAS 才能清,沒辦法用檔案感染的方式?

B0988698088 04/22 15:54還是先搞清楚你路由以及快照怎麼設定的 另外 歸零

B0988698088 04/22 15:54就歸零 清零是支語ㄇ?

banman 04/22 15:58我從早上爬網路文章到現在,好像是針對QNAP的漏洞

banman 04/22 15:59那些文章內也有人懷疑,因為我不確定,所以沒寫出來

banman 04/22 15:59也因此 這次的勒索被命名為QLOCKER

bitlife 04/22 16:01QNAP的快照是什麼機制? 如果是zfs或btrfs,那感覺比

bitlife 04/22 16:01較像管理帳號被入侵

evilufox 04/22 16:04花點時間看內容吧 就是針對QNAP的服務port漏洞阿

banman 04/22 16:05我當初爬文的時候,別人說不像是被刪除,是被改名

evilufox 04/22 16:06這是標準的勒索病毒方式 但之前都是windows上被執行

evilufox 04/22 16:06程式 然後針對所有該機台可讀取到的硬碟與網芳執行

banman 04/22 16:07所以才沒有用"刪除"

evilufox 04/22 16:07加密壓縮 所以這些NAS在不透過網芳分享的情況下是很

evilufox 04/22 16:08安全的 但這漏洞發生後 以後得再增加更多的防禦機制

Kennyq 04/22 16:11NAS的第一個字就是network的縮寫阿!

chienmars 04/22 16:12FB的NAS社團有教如何解密

Kennyq 04/22 16:14之前也是有直攻445port的勒鎖病毒阿

chang0206 04/22 16:17你NAS是裸奔嗎?

qwe753951 04/22 16:50這就是備份的重要性

chang0206 04/22 16:54紅的明顯 可以請教原PO 你NAS是不是有開port mappin

chang0206 04/22 16:54進來,可以直接從internet 存取你的NAS?

banman 04/22 17:03就內建的 myQNAPcloud,查了後才說該關的沒關 QQ"

maniaque 04/22 17:11說真的,或許鄉民得感謝win10 這麼雞巴郎的強迫更新

maniaque 04/22 17:12nas更新權在owner ,又是 7x24,要是ip裸奔更有趣

sqr 04/22 17:13請教樓上 所謂"該關的沒關"是指什麼? 感謝指教!

sqr 04/22 17:13小弟是想請教原po banman大

Fortis931 04/22 19:05什麼時候QnapCloud變預設了阿哈哈哈

worldark 04/22 21:07什麼quickconnect mycloud我都是不敢用的...

AISC 04/22 22:53要更新nas了?

flypenguin 04/22 22:56好奇,quickconnect 跟自己設 DDNS+port forwarding

flypenguin 04/22 22:56安全性上有差嗎 0.0? 好像後者能自己換 port 而已

HMKRL 04/22 23:25那種東西基本上就是個後門 誰知道server幾時會被打

flypenguin 04/23 00:49爬完文,好古典的手法,直接鑽系統漏洞,NAS 執行

flypenguin 04/23 00:49相關套件連上網路就會感染;不是用入侵的。

flypenguin 04/23 00:49用的是 Hybrid Backup Sync 這套件的權限。

※ 編輯: banman (220.130.229.53 臺灣), 04/23/2021 08:17:53

firingmoon 04/23 09:36又來了 我公司前年10月才中= =

middle1023 04/23 10:34一樣中了..快照也被刪了 囧

lwrwang 04/23 10:44看來是有裝Hybrid Backup Sync的才有可能會中

Segal 04/23 11:12而且是硬撞進來的,想知道苦主們pwd長度幾位才被開

bitlife 04/23 11:51看了一下QNAP官網對對快照的簡單說明,是用ext4檔案

bitlife 04/23 11:51系統快照.雖然不清楚細節為何,但是這種和zfs,btrfs

bitlife 04/23 11:53的檔案版本(copy on write)的機制感覺是不一樣的,有

bitlife 04/23 11:53錯請幫我更正

lwrwang 04/23 13:25這一次是用系統漏洞的0-day攻擊,不是破解密碼

banman 04/23 13:42我差不多要準備贖金來救我的資料阿~~~~

wario2014 04/23 16:13看來,nas 要準備兩台才行,一台上線,一台離線

fujisawa 04/23 17:24離線就不需要NAS了吧 買個外接硬碟定期備份一下就好

※ 編輯: banman (220.130.229.53 臺灣), 04/23/2021 17:32:22

fujisawa 04/23 17:25現在NAS很多軟體都能USB接上去後自動備份了

choosin 04/23 17:55離線的沒版控也沒用 只是把被綁架的系統複製一份

neosrx 04/23 21:06幹 我中了

ccbbaa 04/24 15:011w5...就當作硬碟壞掉救援了orz..

flypenguin 04/24 15:12備份有版控啊,Synology Hyper Backup 可自選還原點

flypenguin 04/24 15:12QNAP 應該也有類似的備份套件。

flypenguin 04/24 15:12應該沒人那麼可愛備份是用複製貼上到外接裝置吧。

c08110831 04/24 15:34回樓上,我...

maniaque 04/24 15:58樓上跟樓樓上 在一起 在一起 在一起~~~~(起哄ing)

maniaque 04/24 15:59備份批次或程式啦,不然好歹用 fastcopy 之類軟體吧

flypenguin 04/24 15:59請愛用備份套件,我記得也有複製原始檔沒版控的 0.0

flypenguin 04/24 16:00都排程讓他睡覺時間跑,很久沒手動備份了。

zu00405479 04/26 18:27今天要用檔案才發現我也中了,星期六還有開檔案OK的

zu00405479 04/26 18:28還在想資料夾都有帳密怎麼會中招...

selfhu 04/27 01:41我都用bat+RAR自己土砲第二備份

yao 05/01 14:09我也中了...幸好是影片槽 影片幾乎沒被動 但字幕..

daviddogtw 05/02 01:18請問有人付過贖金了嗎?

banman 05/04 15:20等了一周幣託的錢包身分驗證,今天凌晨去全家買幣

banman 05/04 15:25付贖金後等待txid的確認(大概40分),就拿到密碼了