作者banman (班曼沃尔)
看板Storage_Zone
标题Re: [情报] QNAP NAS遭勒索软体盯上
时间Thu Apr 22 15:24:54 2021
大家
那个不幸的,这次我的QNAP中勒索了。
4/21 下午四点多中招,今天早上才发现
整个NAS里面低於20MB的档案都被锁定成.7z的压缩档。
并且该目录下有个 !!!READ_ME.txt 文字档
里面有付赎金的方式跟要提供的金钥
(我早上已有回报QNAP的支援需求单,还在等待)
(看网路上的内容,赎金是0.01比特币)
目前还没有什麽中文的网站有报导。
4/23更新 有中文的网站报导
新闻标题:威联通NAS遭勒索软体Qlocker攻击,疑似甫修补的重大漏洞惹祸
https://www.ithome.com.tw/news/144004
可以参考
QNAP论坛的用户回馈里面的这篇。
https://forum.qnap.com/viewtopic.php?f=45&t=160849
或是下面这篇这个网址
标题是:
Massive Qlocker ransomware attack uses 7zip to encrypt QNAP devices
(抱歉,没有缩网址)
https://www.bleepingcomputer.com/news/security/massive-qlocker-ransomware-
attack-uses-7zip-to-encrypt-qnap-devices/
↑这里面好像说有找到破解勒索的金钥方法了,但4/22晚上10点前才会提供。
(美东时间10am)
4/23更新 这个方式确定失效了,被对方防堵
曾经我以为有设定快照,就没什麽问题了。
但这次中招後,我想要恢复快照时,却发现我的快照储存也被处理掉了。
所以 我之後除了原本NAS里面放快照之外,也会在外部储存那边放快照备份
希望大家的QNAP NAS在这波 没有中。
也希望大家可以多提供 如何可以降低中奖的方法。
(我之前都没注意,没像那些文章内的把一些关掉或删掉)
4/23 17:25更新,我4/22早上申请的QNAP需求 4/22下午开启远端协助
QNAP应该是刚刚16:00~17:25左右有进去远端协助 刚传过来回覆做一个段落。
以下是QNAP回覆内容的部分
XX先生你好
不好意思让你久候,连线NAS查看加密动作已告一段落(请参考附档截取的资讯),请参考步
骤将NAS重新初始化以恢复使用,造成不便深感抱歉。
心得: 1. 真的要准备赎金去赎回我的资料了 (来去研究买币跟提供..)
2. 要多备份(离线 异地)
3. 该说攻击方的赎金设定还蛮合理的吗?? (比起硬碟坏掉的救援捞资料差不多)
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 220.130.229.53 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Storage_Zone/M.1619076303.A.7A9.html
1F:推 evilufox : 高调一下 nas是大家重要的备份与防勒索病毒手段 04/22 15:39
2F:→ evilufox : 连nas都会中的话 一些防御机制需要让大家都知道较好 04/22 15:40
3F:推 andy199113 : 高调 04/22 15:45
4F:嘘 B0988698088 : 一般入侵也只是因为你当作网路硬碟用而已 根本不是 04/22 15:53
5F:→ B0988698088 : 因为这些病毒有多神能辨识出你是不是Nas 04/22 15:53
6F:→ flypenguin : 连快照备份都被清掉是怎麽办到的 @@? 04/22 15:53
7F:→ flypenguin : 好像要登入 NAS 才能清,没办法用档案感染的方式? 04/22 15:54
8F:→ B0988698088 : 还是先搞清楚你路由以及快照怎麽设定的 另外 归零 04/22 15:54
9F:→ B0988698088 : 就归零 清零是支语ㄇ? 04/22 15:54
10F:→ banman : 我从早上爬网路文章到现在,好像是针对QNAP的漏洞 04/22 15:58
11F:→ banman : 那些文章内也有人怀疑,因为我不确定,所以没写出来 04/22 15:59
12F:→ banman : 也因此 这次的勒索被命名为QLOCKER 04/22 15:59
13F:推 bitlife : QNAP的快照是什麽机制? 如果是zfs或btrfs,那感觉比 04/22 16:01
14F:→ bitlife : 较像管理帐号被入侵 04/22 16:01
15F:推 evilufox : 花点时间看内容吧 就是针对QNAP的服务port漏洞阿 04/22 16:04
16F:→ banman : 我当初爬文的时候,别人说不像是被删除,是被改名 04/22 16:05
17F:→ evilufox : 这是标准的勒索病毒方式 但之前都是windows上被执行 04/22 16:06
18F:→ evilufox : 程式 然後针对所有该机台可读取到的硬碟与网芳执行 04/22 16:06
19F:→ banman : 所以才没有用"删除" 04/22 16:07
20F:→ evilufox : 加密压缩 所以这些NAS在不透过网芳分享的情况下是很 04/22 16:07
21F:→ evilufox : 安全的 但这漏洞发生後 以後得再增加更多的防御机制 04/22 16:08
22F:→ Kennyq : NAS的第一个字就是network的缩写阿! 04/22 16:11
23F:推 chienmars : FB的NAS社团有教如何解密 04/22 16:12
24F:→ Kennyq : 之前也是有直攻445port的勒锁病毒阿 04/22 16:14
25F:推 chang0206 : 你NAS是裸奔吗? 04/22 16:17
26F:推 qwe753951 : 这就是备份的重要性 04/22 16:50
27F:嘘 chang0206 : 红的明显 可以请教原PO 你NAS是不是有开port mappin 04/22 16:54
28F:→ chang0206 : 进来,可以直接从internet 存取你的NAS? 04/22 16:54
29F:→ banman : 就内建的 myQNAPcloud,查了後才说该关的没关 QQ" 04/22 17:03
30F:推 maniaque : 说真的,或许乡民得感谢win10 这麽鸡巴郎的强迫更新 04/22 17:11
31F:→ maniaque : nas更新权在owner ,又是 7x24,要是ip裸奔更有趣 04/22 17:12
32F:推 sqr : 请教楼上 所谓"该关的没关"是指什麽? 感谢指教! 04/22 17:13
33F:→ sqr : 小弟是想请教原po banman大 04/22 17:13
34F:推 Fortis931 : 什麽时候QnapCloud变预设了阿哈哈哈 04/22 19:05
35F:→ worldark : 什麽quickconnect mycloud我都是不敢用的... 04/22 21:07
36F:推 AISC : 要更新nas了? 04/22 22:53
37F:→ flypenguin : 好奇,quickconnect 跟自己设 DDNS+port forwarding 04/22 22:56
38F:→ flypenguin : 安全性上有差吗 0.0? 好像後者能自己换 port 而已 04/22 22:56
39F:推 HMKRL : 那种东西基本上就是个後门 谁知道server几时会被打 04/22 23:25
40F:→ flypenguin : 爬完文,好古典的手法,直接钻系统漏洞,NAS 执行 04/23 00:49
41F:→ flypenguin : 相关套件连上网路就会感染;不是用入侵的。 04/23 00:49
42F:→ flypenguin : 用的是 Hybrid Backup Sync 这套件的权限。 04/23 00:49
※ 编辑: banman (220.130.229.53 台湾), 04/23/2021 08:17:53
43F:→ firingmoon : 又来了 我公司前年10月才中= = 04/23 09:36
44F:推 middle1023 : 一样中了..快照也被删了 囧 04/23 10:34
45F:推 lwrwang : 看来是有装Hybrid Backup Sync的才有可能会中 04/23 10:44
46F:推 Segal : 而且是硬撞进来的,想知道苦主们pwd长度几位才被开 04/23 11:12
47F:推 bitlife : 看了一下QNAP官网对对快照的简单说明,是用ext4档案 04/23 11:51
48F:→ bitlife : 系统快照.虽然不清楚细节为何,但是这种和zfs,btrfs 04/23 11:51
49F:→ bitlife : 的档案版本(copy on write)的机制感觉是不一样的,有 04/23 11:53
50F:→ bitlife : 错请帮我更正 04/23 11:53
51F:推 lwrwang : 这一次是用系统漏洞的0-day攻击,不是破解密码 04/23 13:25
52F:→ banman : 我差不多要准备赎金来救我的资料阿~~~~ 04/23 13:42
53F:推 wario2014 : 看来,nas 要准备两台才行,一台上线,一台离线 04/23 16:13
54F:→ fujisawa : 离线就不需要NAS了吧 买个外接硬碟定期备份一下就好 04/23 17:24
※ 编辑: banman (220.130.229.53 台湾), 04/23/2021 17:32:22
55F:→ fujisawa : 现在NAS很多软体都能USB接上去後自动备份了 04/23 17:25
56F:推 choosin : 离线的没版控也没用 只是把被绑架的系统复制一份 04/23 17:55
57F:推 neosrx : 干 我中了 04/23 21:06
58F:→ ccbbaa : 1w5...就当作硬碟坏掉救援了orz.. 04/24 15:01
59F:→ flypenguin : 备份有版控啊,Synology Hyper Backup 可自选还原点 04/24 15:12
60F:→ flypenguin : QNAP 应该也有类似的备份套件。 04/24 15:12
61F:→ flypenguin : 应该没人那麽可爱备份是用复制贴上到外接装置吧。 04/24 15:12
62F:推 c08110831 : 回楼上,我... 04/24 15:34
63F:→ maniaque : 楼上跟楼楼上 在一起 在一起 在一起~~~~(起哄ing) 04/24 15:58
64F:→ maniaque : 备份批次或程式啦,不然好歹用 fastcopy 之类软体吧 04/24 15:59
65F:→ flypenguin : 请爱用备份套件,我记得也有复制原始档没版控的 0.0 04/24 15:59
66F:→ flypenguin : 都排程让他睡觉时间跑,很久没手动备份了。 04/24 16:00
67F:推 zu00405479 : 今天要用档案才发现我也中了,星期六还有开档案OK的 04/26 18:27
68F:→ zu00405479 : 还在想资料夹都有帐密怎麽会中招... 04/26 18:28
69F:→ selfhu : 我都用bat+RAR自己土炮第二备份 04/27 01:41
70F:→ yao : 我也中了...幸好是影片槽 影片几乎没被动 但字幕.. 05/01 14:09
71F:→ daviddogtw : 请问有人付过赎金了吗? 05/02 01:18
72F:→ banman : 等了一周币托的钱包身分验证,今天凌晨去全家买币 05/04 15:20
73F:→ banman : 付赎金後等待txid的确认(大概40分),就拿到密码了 05/04 15:25