作者money0922 (孤音)
看板Storage_Zone
标题Re: [情报] QNAP NAS遭勒索软体盯上
时间Thu Apr 22 16:00:41 2021
※ 引述《banman (班曼沃尔)》之铭言:
: 大家
: 那个不幸的,这次我的QNAP中勒索了。
: 4/21 下午四点多中招,今天早上才发现
: 整个NAS里面低於20MB的档案都被锁定成.7z的压缩档。
: 并且该目录下有个 !!!READ_ME.txt 文字档
: 里面有付赎金的方式跟要提供的金钥
: (我早上已有回报QNAP的支援需求单,还在等待)
: (看网路上的内容,赎金是0.01比特币)
: 目前还没有什麽中文的网站有报导。
: 可以参考
: QNAP论坛的用户回馈里面的这篇。
: https://forum.qnap.com/viewtopic.php?f=45&t=160849
: 或是下面这篇这个网址
: 标题是:
: Massive Qlocker ransomware attack uses 7zip to encrypt QNAP devices
: (抱歉,没有缩网址)
: https://www.bleepingcomputer.com/news/security/massive-qlocker-ransomware-
: attack-uses-7zip-to-encrypt-qnap-devices/
: ↑这里面好像说有找到破解勒索的金钥方法了,但今天晚上10点前才会提供。
: (美东时间10am)
: 曾经我以为有设定快照,就没什麽问题了。
: 但这次中招後,我想要恢复快照时,却发现我的快照储存也被清零了。
: 所以 我之後除了原本NAS里面放快照之外,也会在外部储存那边放快照备份
: 希望大家的QNAP NAS在这波 没有中。
: 也希望大家可以多提供 如何可以降低中奖的方法。
: (我之前都没注意,没像那些文章内的把一些关掉或删掉)
https://www.facebook.com/groups/nas.tw/permalink/10159342585353245/
有高手已经放出破解教学,中奖的灾民参考看看。
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 223.136.127.165 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Storage_Zone/M.1619078442.A.0FC.html
1F:推 banman : 我的是已经被跑完所有压缩了,所以只能等美东10am 04/22 16:04
2F:推 bitlife : 看了这个解法,感觉NAS厂商应该做一件事,修正所有可 04/22 16:15
3F:→ bitlife : 能的压缩命令的原始码,只允许压工作用暂存档之类 04/22 16:16
4F:→ maniaque : 不算破解,只是趁着勒索指令正在压缩时,偷捞密码出来 04/22 16:43
5F:→ maniaque : 所以重开机 跟 已经全压缩结束 ,就直接放弃拦胡 04/22 16:44
6F:推 ivanyeh : 我的也中了,我直接关机了,才看到这一篇 04/22 17:39
7F:推 sqr : i大能分享一下平常使用是怎麽连外吗? 04/22 18:13
8F:嘘 B0988698088 : 骇客下次直接加密砍档就好了 讲修正压缩命令的是有 04/22 20:09
9F:→ B0988698088 : 事吗= = 还厂商该做的事咧zzz 04/22 20:09
10F:→ B0988698088 : 使用者先改掉机器直接对外跟爱用预设帐号这些烂习 04/22 20:10
11F:→ B0988698088 : 惯再来嘴比较好 04/22 20:10
12F:→ bitlife : 砍档? 那就不叫勒索软体叫撕票软体了啊 XD 04/22 20:46
13F:推 TWN48 : 呃,恶意程式自己带加密的 code 进来就好了啊。 04/22 21:43
14F:→ bitlife : 带code有几个问题,binary的相容性相对低,script效率 04/22 21:50
15F:→ bitlife : 差, 除非作者确定所有机器都上了这种补丁,否则你无 04/22 21:51
16F:→ bitlife : 声无息的让压缩命令执行bypass掉,这些骇客他不清楚 04/22 21:52
17F:推 bitlife : 是受害者放弃付赎金选择重灌还是其他状况 04/22 21:55
18F:→ bitlife : 我是觉得未来可能会有NAS防毒软体了 04/22 21:56
19F:→ comipa : NAS防毒都有几年了... 04/22 22:09
20F:→ flypenguin : 咦,不是该从怎麽防止恶意登入做起吗? 04/22 22:46
21F:→ flypenguin : 连得进来怎麽锁都能恶搞吧,除非你要档案全部唯读。 04/22 22:46
22F:→ bitlife : f大你说的是治本,我讲的是第一时间治标. 治本方案通 04/22 23:01
23F:→ bitlife : 常需要较久时间,治标就比较快,第一时间暂时避免档案 04/22 23:02
24F:→ bitlife : 被加密而以,不是治本方法. 04/22 23:02
25F:推 sheging : 我也中了 希望有解毒法XD 04/23 01:45
26F:推 lwrwang : 我也中了,不过有捞到密码 04/23 02:30
27F:推 ddity : 中了 还好有离线备份 04/23 07:42
28F:→ ddity : 什麽时候才能把资料复原?? 04/23 12:41
29F:推 venerer : 中了...用半年前的离线备份复原中... 04/23 13:09
30F:→ wliu : 建议先不要动到出事的硬碟 之後若能救也比较有机会 04/23 16:06
31F:→ mypigbaby : 为什麽好像没人检讨厂商? 去年11月就有接获通知,直 04/24 11:39
32F:→ mypigbaby : 到今年四月中才修补? 04/24 11:39
33F:推 TWN48 : 没有吧, HBS 3 这个洞是刚被找到的 0-day 04/24 13:03
34F:推 TWN48 : QSA-21-13 / CVE-2021-28799 04/24 13:05
35F:→ flypenguin : 不一样的洞,只是套件一样,谣言故意扯在一起。 04/24 14:37
36F:→ MikePetrucci: 推文一直有人在乱讲........超扯 04/24 17:19
37F:推 lwrwang : 我有两台,一台有中一台没中,中的那一台有装HBS 04/25 23:52
38F:→ iceyang : 这解法和当初win平台的一样都是趁没关机前捞在ram里 04/26 13:37
39F:→ iceyang : 的暂存资料一样意思? 04/26 13:37
40F:→ maniaque : 差不多意思,只是加密密码是在硬碟暂存档内 04/26 19:58
41F:→ maniaque : ram 哪有那麽好捞?? 04/26 19:58
42F:→ maniaque : 某种程度上,其实就是用B漏洞去救A漏洞捅的包 04/26 19:58
43F:→ maniaque : 高手知道压缩程式有把密码明码写在暂存的漏洞 04/26 19:59
44F:→ maniaque : 当勒索程式执行呼叫压缩程式开工,就从ssh 进去主机 04/26 19:59
45F:→ maniaque : 从那个漏洞捞出密码字串............好笑吧.... 04/26 20:00
46F:推 TWN48 : 欸不是这样的。原本的 7z 并没有把密码写在暂存档。 04/26 23:17
47F:→ TWN48 : 那篇捞密码的做法是做一个取代原本 7z 的 script, 04/26 23:18
48F:→ TWN48 : 里面把命令列拿到的密码写到档案里。 04/26 23:18
49F:推 wenjie0810 : 谣言?几乎各家都这样写欸 04/27 00:32
51F:推 TWN48 : 上面这篇讲的是 QSA-21-05 / CVE-2020-2509 和 04/27 01:00
52F:→ TWN48 : QSA-21-11 / CVE-2020-36195。 04/27 01:00
53F:→ TWN48 : 四月接连修正了三个洞,两个旧的一个新的。 04/27 01:02
54F:→ flypenguin : 那两个洞 QTS 4.5.1.1495 Build 20201123 就修正了 04/27 02:04
55F:→ flypenguin : 不过究竟是洞没补好,还是补了出现更多洞。 04/27 02:08
56F:→ flypenguin : 应该只有 QNAP 自己知道 (远目) 04/27 02:08
57F:推 wayne1120 : 推一个 04/27 19:42
58F:→ flypenguin : 官方 FB 发说明了 0.0 04/28 20:53