Zsarolóvírus támadások

  1. április 19-től támadást ért bizonyos QNAP NAS rendszereket. Főként a gyenge jelszóval ellátott és nem frissített rendszereket próbálták feltörni a támadók és az adatokat egy 7z ZIP fájlba tömörítették be.

    Ugyanakkor hagytak egy TXT fájlt is, aminek a segítségével a felvehettük velük a kapcsolatot, és 557.74 USD-t átutalva készségesen adtak egy kicsomagoló kódot.


    A támadásról a BleepingComputer írt először.

Elméletileg lesz egy javítás, amivel ingyenesen szerezhetjük vissza az adatainkat. Ha van frissebb információnk, jelentkezünk.

UPDATE:
A QNAP kiadta a Malware Remover új változatát. Ha a NAS-t titkosították, nem szabad azt leállítani. Telepíteni kell a Malware Removert, majd lefuttatni azt. Utána fel kell venni a kapcsolatot a QNAP terméktámogatással.

A nem érintett felhasználók számára ugyancsak javasolják, hogy óvintézkedésként azonnal telepítsék a legújabb Malware Remover verziót, és futtassák le a keresést.

Minden felhasználónak frissítenie kell a jelszavát egy erősebbre, és a Multimedia Console-t, a Media Streaming kiegészítőt és a Hybrid Backup Sync alkalmazásokat frissíteni kell a legújabb verzióra. Ezenkívül javasolják, hogy a módosítsák a NAS kezelőfelületéhez tartozó alapértelmezett 8080 hálózati portot. A művelet végrehajtásának lépései megtalálhatók a QNAP által kiadott biztonsági közleményben.

További részleteket ezen a linken található biztonsági tájékoztatóban és a QSA-21-13 alatt olvashattok.

Nem tudom Qnap olvasatában mit jelent nem fríssitett rendszer vagy gyenge jelszó. De engem elért múlt héten a támadás és 20 évnyi adatomat titkosították. Most fízethetek 550 usd-t, hogy vissza kaphassam az adataimat. Qnap Support a sablon válasz leveleken kívül más választ nem tud küldeni, tényleges segítséget ez idáig nem tudtak adni. Amíg nem használtam NAS adat tárolót addig ilyen támadásokat max hírből hallottam. Teljesen felvagyok háborodva, hogy a qnap csak fel teszi a kezét amikor ilyen központi támadás történik és a felhasználókat csak magukra hagyják. Még egy figyelmeztető mail-t sem küldtek a támadásról. Ha én nem keresek rá a hiba okára akkor nem is tudom meg, hogy mi történt a rendszerremel. Ez útán képesek írni, hogy nem frissített rendszer meg gyenge jelszó okozta a támadás inkább a biztonsági rések amikre későn érkezett a javítás.

Helló, Teljesen jogos amit írsz. Megcsináltad azokat a lépéseket, amiket itt javasoltunk?

Helló! Természetesen, Qnap Support által javasolt illetve jelenleg elérhető összes helyre állítással megprobálkoztam eredménytelenül. Support válaszaival arra irányít, hogy fízessek amit nem tartok etikus viselkedésnek. Jelenleg azt mondják, hogy nem lehet megoldani és nem tudják, hogy lesz-e rá megoldás, amit nem tudok elfogadni, ekkora cég és még azt se mondják, hogy dolgoznak a megoldáson. Hihetetlen

Az biztos, hogy dolgoznak. Kérem a türelmed. Hamarosan jelentkezünk, szerintünk ne fizess, de ne is kapcsold ki a NAS-t. Elméletileg, ha még tart a titkosítási folyamat, akkor kell, hogy látszódjon a feloldási jelszó. Tart még nálad?

Igen már ezen is túl vagyunk. Már lefutott a titkosítás. 04.19-én törték fel és titkosították a file-okat 04.23-án vettem észre, hogy a fénykép file-ok titkosítva lettek. Addigra már lefutott a titkosítás. Addig nem is tudtam, hogy biztonsági Incidens történt Qnap semmilyen értesítést nem küldött, csak akkor jöttem rá mi történt amikor rákerestem a hiba jelenségre.

Tudnál mondani egy support ticket számot?

Sziasztok. Engem is elért a támadás.
A fájlok ápr.22-én zárolódtak, én ápr.28-án fedeztem fel, és hosszas kutakodás után sikerült kideríteni mi ez. Erős jelszót használok, és szinte mindig azonnal frissítek.
Ha a Qnap időben értesítette volna a felhasználókat, kevesebb lenne az áldozat. A nas logjában azt olvastam hogy április 22-én talált egy malware-t és újraindítás után törölte.
Semmilyen tevékenységet nem látok, a fájlok zárolva. Mi a teendő?

Dettó így jártam én is. Több 10 Ezer fénykép zárlódott, én az egészből semmit se vettem észre, csak pár nap múlva, amikor bekapcsoltam a gépet. Sem figyelmezetés, sem semmi egyéb nem érkezett a cég részéről. Sok jóval nem is bíztatnak. 10 évnyi munka van a képek mögött…
Ha ezt előre tudom, akkor maximum a paprikáscsirke receptjét tároltam volna a NAS-on, azt is egy sima txt fájlban…

Sikerült valamit kideríteni mire számíthatunk?
Próbáltad a qnap által leírtaknak megfelelően visszaszerezni a kódot a 7z.log fájlból?
Köszi

Ha sikerült volna, akkor nem itt sírnék… :neutral_face:
Nem találtam semmilyen log fáljt. Mire észrevettem az egészet, szerintem már rég befejeződött a kódolás, esélyem se volt folyamatában elkapni a műveletet.
Pipa vagyok, mert pótolhatatlan fotók vesztek el, sok egyébről nem is beszélve.
Nem tudom, mennyi érintett lehet, de valóban necces ezt az egészet arra fogni, hogy nem voltak elég jók a jelszavak… :roll_eyes: Szóval az egészet a végfelhasználóra hárítani.

16 karakteres jelszavam volt. Kisbetű, nagybetű, szám, véletlenszerű sorrendben.
Szerintem sem ezen múlt. Biztos hogy sok károsult van, és valamit lépni kell, mert ez a gyártónak nagyon rossz reklám. Gyakorlatilag pont a biztonság miatt van a nas, és az hagy cserben. A fájlok egy része más forrásban meg van, de a maradék hiánya is jelentős károkat okoz. Nekem virtuális gép is van rajta, az szerencsére megúszta, de ennyi erővel törölhették volna az egészet.
Fizetés mennyire lehet biztonságos?

Gőzöm sincs… Sose volt bitcoinom, semmit se tudok róla. Mondjuk azt nem venném zokon, ha mondjuk a cég legalább beszállna a díj kifizetésébe, és nem 10%-ban. Mert ahogy mondtad, én is pont azért vettem NAS-t, hogy biztonságban legyenek a dolgaim… :roll_eyes: Ehhez képest ilyen mértékű adatvesztésem még sose volt. Nekem is van valamennyi mentésem, de több TB-nyi adat ment a levesbe. :neutral_face:

Ezek a hivatalos lépések, amit a QNAP javasol (már ha még fut a tömörítés):

Első lehetséges megoldás

  1. Telepítse a Malware Remover alkalmazást az APP Centerből, és futtassa manuálisan;

  2. Csatlakozon a nas-hoz az ssh-n keresztül

  3. Az alábbi paranccsal állapítható meg, hogy a ransomware még folyamatban van-e.

  4. cp getcfg MalwareRemover Install_Path -f /etc/config/qpkg.conf/7z.log
    /share/Public**

  5. Ha a válasz ’ No such file or directory ’ az azt jelenti, hogy a NAS újraindult, vagy a titkosítási folyamat befejeződött. Ebben a helyzetben, sajnos nem tudunk segíteni;

  6. Ha a parancs mindenfajta probléma nélkül futott le, akkor a NAS nyilvános (Public) mappájában egy 7z.log fájlt jelenik meg, amely a jelszót tartalmaz;

  7. A jelszó nagyjából így néz ki:

  8. a -mx=0 -sdel -p mFyBIvp55M46kSxxxxxYv4EIhx7rlTD [FOLDER PATH]

  9. mFyBIvp55M46kSxxxxxYv4EIhx7rlTD a jelszó

  10. Ekkor újraindíthatja a NAS-t, és a jelszóval dekódolhatja a fájlokat;

  11. Ha nem tudja, hogyan kell elolvasni a jelszót, kérjük, küldje el a teljes üzenetet a diagnosztikai adatokkal (log fájl) együtt a QNAP terméktámogatásnak.

Második lehetséges megoldás

  1. Csatlakozzon a nas-hoz ssh-n keresztül;

  2. https://www.qnap.com/hu/how-to/knowledge-base/article/how-to-access-qnap-nas- by-ssh

  3. Az alábbi paranccsal megtudhatja, hogy a ransomware még folyamatban van-e.
    ps | grep 7z

  4. Ha nincs 7z, ez azt jelenti, hogy a NAS újraindult, vagy a titkosítási folyamat befejeződött, ha ez a helyzet, sajnos semmit nem lehet segíteni;

  5. Ha a 7z még fut, másolja és illessze be az alábbi parancsot, és nyomja meg az Enter billentyűt (1 sor)
    cd /usr/local/sbin; printf ‘#!/bin/sh \necho $@\necho
    $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000’ > 7z.sh; chmod +x 7z.sh; mv 7z** **7z.bak; mv 7z.sh 7z

  6. Várjon néhány percet, hogy a jelszót megtalálja a futó alkalmazás;
    cat /mnt/HDA_ROOT/7z.log
    A jelszó nagyjából így néz ki:
    a -mx=0 -sdel -p mFyBIvp55M46kSxxxxxYv4EIhx7rlTD [FOLDER PATH]
    mFyBIvp55M46kSxxxxxYv4EIhx7rlTD a jelszó

  7. Ekkor újraindíthatja a NAS-t, és a jelszóval dekódolhatja a fájlokat;

  8. Ha nem tudja, hogyan kell elolvasni a jelszót, kérjük, küldje el a teljes üzenetet a diagnosztikai adatokkal (log fájl) együtt a QNAP terméktámogatásnak.

Én nem fizetnék egyelőre.
Negator dolgozik valami kikódolón, szerintem egy-két napon belül, már tud mondani valamit.

Ha az nem működik, akkor is még van lehetőséged gazdagítani a kis gyökereket…

Kötve hinném, hogy beszáll…
Amúgy a Seagate-nek van archiválásra jó lemeze. Olcsó is és 8TB-s. Én is azt használom egy egyszerű mentéshez. Persze külső tokban. Ezt nem vígasznak írtam, pusztán csak, ha valakit érdekel, szerintem azt érdemes beszerezni. Folyamatos használatra amúgy teljesen alkalmatlan, sebessége vetekszik egy streamerével…

A folyamat már rég leállt, én sok nap után vettem észre. NAS-t nem azért vesz az ember hogy utána külső tárolóra mentsen. Raid konfigban tulajdonképpen sérthetetlenek kellene lennie. Pont a mentések miatt van NAS, és hogy mindenhonnan kiszolgáljon, ez egy orbitális hiba, a QNAP-tól, és remélem hogy nagyon sok vásárlót vesztenek globálisan, a nulla kommunikációjuk miatt. Elsunnyogták ezt a dolgot ahelyett hogy időbe figyelmeztették volna a felhasználókat. Két naponta tud küldeni emailt hogy mikor milyen vas jelenik meg, de arról hogy figyelj öcsi baj van, lapítottak. Ez a legnagyobb gáz, számomra átkerült a QNAP a megbízhatatlan kategóriába. A fájlokat nem tudják visszafejteni, ha jól tudom a 7zip is tud aes256 titkosítást ami jelenleg törhetetlen, a minimum hogy a QNAP megpróbálná visszaszerezni a kódokat, hogy helyreállítsa a csorbát. Nem kizárt hogy külföldön pertársaságok jönnek létre és elindítanak egy folyamatot, bár az elvesztett dolgokért nem tud kárpótolni.

Hát. Én ezt a NAS dolgot azért máshogy látom. A NAS alapvetően egy szerver, már régen elveszítette a klasszikus NAS értelmét. Mint minden szervert, ezt is konfigurálni kell. Nagyvállalati szegmensben soha nem hallottunk ilyen adatvesztésről, persze ez azért lehet, mert be van konfigurálva. A RAID esetében, mindegyik gyártó hangsúlyozza, hogy semmilyen adatvesztést nem akadályoz meg, pontosan ezért javasolják a mentést más eszközre (lehetőség szerint más lokációban lévő eszközre). A RAID pusztán a lemezek hibatűrését tágítja ki.
Visszatérve a NAS-hoz, hogy mire való… nos, ha veszel mondjuk egy bármilyen gyártótól Windows-szervert, és ott is nyitva hagyod a 8080-at, akkor persze, hogy fel tudják törni. Ugyanakkor, szerintem pont az a probléma, hogy egy hamis kép él az emberekben, veszek egy ilyen vasat, és akkor aztán biztonságban vagyok. Ez egyszerűen nem igaz. Mondhatja mindenki azt, hogy micsoda jó dolog, és könnyen kezelhető, de ebből is pontosan látható, hogy érteni kell (nem kicsit szerintem) a konfigurálásához. Egy csomó ismerősöm, például csak és kizárólag VPN-en keresztül használja. És mindent lezárt rajta. De ezt honnan is tudná mondjuk az az ember, aki bemegy a boltba, és persze jóhiszeműen vesz egy NAS-t… Mert az eladó azt mondja, hogy ez aztán tuti.

Melléktéma: kb két éve mentem be egy piros logós elektronika multiba… Véletlenül hallottam, hogy a vásárló kérdezi az eladót, milyen külső HDD-t vegyen. Erre az eladó, jó lesz bármelyik, csak színben van különbség. Picit szégyellem magam, hogy nem mentem oda segíteni, de ez döbbenet.

Hogy miért nem értesítettek, hm. Na igen. Ez abszolút jogos.

Ez a 7zip egy kicsit más sztori, és szerintem még nincs veszve minden. Pont ezért is írtam, hogy @negator dolgozik valami megoldáson, neki is az egyik haverjának a gépét feltörték. Szóval, ugye ez egy Linux alatt végbement tömörítés, így ez hordozza magával a Linux adta lehetőségeket is a visszafejtésénél. Meglátjuk, ha már tudja a megoldást (szerintem 1-2 napon belül), akkor úgyis jelentkezni fog, hogy mindenkinek tudjunk segíteni.

Na én a videó alapján megtaláltam a 7z.log fájlt, de nem az van benne, amit mutattak. Persze nálam is volt egy leállás újraindítás.
Kérdés, hogy valahol a nas sötét bugyraiban nincs e meg valahol az eredeti log fálj, illetve, hogy valójában mi is történik, amikor egy ilyen fájl törlődik? Valóban törlődik fizikailag, vagy ez is csak egy logikai törlés?

Milyen videó? Nekem magától indult újra mikor megtalálta a malware-t, de ezt csak a naplóból tudom.