Denne tråd er over 6 måneder gammel
Er du sikker på, at du har noget relevant at tilføje?
Qnap ramt af Qlocker ransomwareAf Superbruger freak_master | 11-01-2022 09:36 | 4633 visninger | 16 svar, hop til seneste
Qnap har et åbent sikkerhedshul i deres HBS3. HBS3 er et program i NAS'en som synkroniserer data mellem andre Qnap NAS. Jeg har kørt det som en ekstern backup udenfor huset, og delt data med en anden server, så vigtige ting lå begge steder. Det betyder så at fordi Qnap har haft et åbent sikkerhedshul kan man ligge sin ransomware ind.
Softwaren er blevet døbt Qlocker, og man har faktisk flere muligheder hvis man er blevet ramt.
Både den server jeg synkroniserer med, og min egen er blevet ramt, så familiens billeder er pludselig krypteret og de vil have 0.02BTC igennem Tor netværket for at få sine data.
Flere har meldt tilbage efter at have betalt. Nogen får aldrig en kode, mens nogen andre får en kode der virker, det er 50/50. I skrivende stund er 0.02BTC cirka 5500kr.
Hvis man opdager det imens at Qlocker kører må man ikke slukke, der kan køres et script:
cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
Blot login med SSH, tryk på Q + enter og y + enter og skriv det ind imens Qlocker kører. Scriptet sniffer det password der krypteres med.
Qlocker går efter filer under 20MB så det tager ofte ikke lang tid at lave arbejdet, så man skal være hurtig.
Opdager man først Qlocker senere som mig, så er der en anden vej.
Qlocker ligger dine filer ind i et .7z arkiv som har et password. Imens den gør det sletter den de originale filer, og som vi ved så er slettede filer ikke helt slettet alligevel.
En slettet fil bliver blot "markeret" til at bliver overskrevet på disken, så det er VIGTIGT at der ikke bliver skrevet mere til diskene, da det kan overskrive den gamle data der stadig ligger der.
Igennem ubuntu kan man mount et netværksdrev, og køre photorec for at få filerne igen, dette er lykkedes mig til dels, jeg kører stadig recovery, og da jeg har 16TB data den skal igennem tager det +360 timer, men jeg kan allerede nu se en MASSE filer der er "krypteret".
Slettede data indeholder dog ikke navne eller filstruktur længere, men et script kan kigge hele NAS'ens filer igennem for CRC info på filerne, og matcher det noget der er fundet kan dette slette .7z filen, omdøbe og ligger den korrekte fil tilbage.
Jeg skriver fordi jeg har været i panik i 2 dage nu, næsten uden søvn. Data jeg har er blandt andet billeder og videoer af min afdøde nevø der kun blev 5 år - uvurderlig data for mig og familien.
Heldigvis har jeg nogle eksterne backups på eksterne diske også, så jeg er ikke HELT på marken.
Hvis nogen har Qnap NAS så har Qnap lukket hullet, så sørg for at opdaterer firmware, HBS3 softwaren (alle NAS kommer med det) samt Malware scanner, da denne er opdateret til at fange disse angreb også.
Du kan læse min længere historie på engelsk her: https://www.bleepingcomputer.com[...]
Hold jeres data sikker! Lav ekstern backup der evt. ligger i pengeskab, hav jeres data 2 steder hvis den er rigtig vigtig! Ofte får man ikke 100% data tilbage. Mange melder om at have reddet 70% på denne måde. --
Øv en omgang.
Ser ud som om at det underliggende issue er 'CVE-2021-28799':
https://www.bleepingcomputer.com[...]
QNAP havde en fucking backdoor installeret med hardcoded credentials. idioter.
Når det så er sagt, så vil jeg altid anbefale at have et NAS væk fra internettet - eller i det mindste kun gennem VPN eller lign.
Godt at du trodsalt havde ekstern backup! -- Åha. Håber ikke Synology er lige så sløsede. -- Future is a concept. Past is a concept. There is only ever now. #2 Jeg håber også at Synology ikke er lige så sløsede.
#0 Men shit en træls ting at komme igennem. Jeg håber du kan finde det hele.
//Hammer -- Helpful? Rate it.
Solved? Post it.
Idiot? Shut up. --
Sidst redigeret 11-01-2022 15:43 Puha. Sikke en omgang.
Jeg er glad for, at du deler ud af dine erfaringer med problemet. -- Har en ven der lige har fået en advarsel email fra Terramaster de ved ikke om deres NAS er ramt men de giver en liste med man bør ænder hvis man har en Terramaster NAS -- #3, Synology skal nok have indbygget en bagdør, den er blot ikke offentlig kendt endnu. Så snart den bliver kendt, bliver den lukket og en ny implementeret ;) -- Gæstebruger, opret dit eget login og få din egen signatur. #0 Hvordan fandt du ud af det? -- #1
Ja du har ret, det er netop dette jeg blev ramt af. Det er ikke ret ofte man logger på interfacet for at opdaterer sin NAS, jeg gør ihvertfald ikke, men det er jo nok en fejl fra min egen side.
Jeg har ekstern backup flere steder faktisk, men ultimativt ser det ud til at jeg har mistet omkring en måneds data, og jeg er ved at køre en recovery (stadigvæk). Det viste sig at dem jeg deler data med også er ramt, men der havde jeg også lavet en backup der lå i deres pengeskab.
#2
Jeg kender ikke til Synology, jeg har aldrig haft dem. Jeg har Qnap da jeg for længe siden (da TS-451 udkom) skrev en artikel omkring NAS'en på HWT, og beholdte derefter NAS. Det var min første og eneste NAS, men nu er den blevet umulig at undvære.
Jeg har set Synology have andre huller, men jeg har slet ikke dykket ned i det.
#3
PT. bør recovery være færdig hos dem jeg deler data med, men jeg ved det ikke helt. Mandag aften stod der 36 timer tilbage. Min egen NAS skriver nu 1200 timer tilbage, men der kommer nok lidt fart på så snart jeg er færdig med at smide mine 16TB ned til Hetzner i Tyskland. Lige nu er jeg glad for min gigabit fiber.
#4
Mange tak!
Jeg håber at tråden kan hjælpe bare en der måske kunne komme i samme båd (ikke opdateret firmware, HBS3 eller Malware scanner) så andre ikke løber ind i problemet, og hvis de gør kan det måske hjælpe dem med at få noget igen.
#5
Det er et mærke jeg aldrig har hørt om, men det er vidst rimelig "normalt" at der er huller i disse systemer, desværre. Det skader aldrig at være opdateret med sit eget system.
#6
Jeg tror at huller er alle steder, og det er lidt som at lege katten efter musen. Tom og Jerry kører jo stadigvæk, og vil sikkert i noget der ligner en evighed.
#7
Søndag morgen omkring klokken 9:30 går jeg ind på min NAS da jeg ville se vores 9. klasses afgangsvideo. Jeg fandt filen som en .7z fil og en fil der hedder "!!!READ_ME.txt" hvori der står at alle filerne er krypteret, og en instruktion til hvordan man betaler med bitcoin igennem Tor netværket. -- Det er vild at de bliver ramt igen og igen af den samme slags exploits.
Glad for jeg kun bruger Synology. -- Jeg bruger ud over lokale USB diske, også backup til skyen. Det koster lidt, men det har reddet min røv, mere end én gang. --
Mvh
Søren Vedel
info (snabel-a) pionersoft.dk #9
Synology går nu ikke fri.
Prøv at søge på SynoLocker -- https://onsdagssnegl.dk[...]
"Held er noget, der indtræffer, når grundige forberedelser mødes med gunstig lejlighed" #9
Det er nu cirka 8 år siden at jeg fik NAS, og det er første gang jeg nogensinde er blevet ramt, så "igen og igen" er måske lige hårdt nok. Synology er heller ikke fri for sine fejl.
Hele fadæsen med hacking er jo at det er katten efter musen hele tiden, og man kan aldrig være 100% sikker.
#10
Det er en god idé at have sådanne ting væk fra internettet. Jeg har ærligt aldrig tænkt tanken at man kunne komme ind uden password, og jeg har sørget for password der er så lang og kompleks at det vil være umuligt at gætte sig frem til.
Tanken var at 4 diske i RAID 5 og så er data sikret, men tydeligvis ikke. Det bliver også måden jeg opbevarer data som jeg ikke vil miste i fremtiden - væk fra internettet.
#11
Jeg tror alle NAS har huller, men det er ikke lige noget man tænker over til hverdag. -- Fandt du filerne i en standard mappe? -- #11 #12 ja for 8 år siden og intet siden, QNAP har konsekvent været ramt nye sikkerheds brist nærmest hvert år. -- #13 Hvis du mener ransom note lå den i alle mapper hvor mindst en fil var blevet ramt.
#14 Nu er jeg slet ikke fanboy af noget som helst, det er helt tilfældigt at jeg fik en Qnap af Qnap selv og valgte at bruge den. Jeg ved derfor stort set intet om Synology, jeg kan bare se hvad andre folk skriver.
Nu er det også første gang i 8 år hvor jeg har haft NAS at jeg har et problem, det betyder ikke at Qnap ikke har været ramt, men jeg har ikke, hvorfor jeg ikke har undersøgt noget om det. -- Hej. Er blevet ramt af deadbolt ransomware. Det lyder lidt som den historie du beskriver. Bruger sjældent min QNAP nas, så det er et par uger siden den blev “ramt”. Alle mine filer er ændret. Tror du der er en chance for st få dem tilbage? -- Gæstebruger, opret dit eget login og få din egen signatur.
Grundet øget spam aktivitet fra gæstebrugere, er det desværre ikke længere muligt, at oprette svar som gæst.
Hvis du ønsker at deltage i debatten, skal du oprette en brugerprofil.
Opret bruger | Login
|
Du skal være logget ind for at tilmelde dig nyhedsbrev.
Hvilken udbyder har du til internet? 424 personer har stemt - Mit energiselskab (Ewii f.eks) 11%
|