Tag Archive for: QLOCKER

Oprogramowanie ransomware o nazwie Qlocker zaczęło atakować urządzenia QNAP 19 kwietnia 2021 r. Od tego czasu na różnych forach pomocy technicznej odnotowano ogromną aktywność. Natomiast ID-Ransomware odnotowało wzrost liczby zgłoszeń.

Przebieg ataku wygląda w ten sposób, że przestępcy używają 7-zip do przenoszenia plików na urządzeniach QNAP do archiwów chronionych hasłem. Podczas blokowania plików QNAP Resource Monitor wyświetli wiele procesów „7z”, które są wykonywalnymi wierszami poleceń 7zip. Po zakończeniu działania oprogramowania ransomware pliki urządzenia QNAP będą przechowywane w chronionych hasłem archiwach 7-zip z rozszerzeniem .7z. Aby rozpakować te archiwa, ofiara musi wprowadzić hasło znane tylko atakującemu. Po zaszyfrowaniu urządzeń QNAP użytkownicy otrzymują wezwanie do okupu READ_ME.txt zawierające unikalny klucz klienta, który ofiara musi wprowadzić, aby zalogować się na stronie płatności „ransomware’s Tor”.

Firma QNAP przekazała informację, że ich zdaniem Qlocker wykorzystuje lukę CVE-2020-36195 do uruchamiania oprogramowania ransomware na podatnych urządzeniach.

QNAP podaje, iż luka została naprawiona w kolejnych wersjach Multimedia Console i dodatku Media Streaming, jak również w wersjach systemu QTS 4.3.3 i QTS 4.3.6:

  • QTS 4.3.3: Dodatek Media Streaming 430.1.8.10 lub nowszy
  • QTS 4.3.6: Dodatek Media Streaming w wersji 430.1.8.8 lub nowszej
  • QTS 4.4.xi nowsze: Multimedia Console 1.3.4 i nowsze
  • QTS 4.3.3.1624, kompilacja 20210416 lub nowsza
  • QTS 4.3.6.1620 kompilacja 20210322 lub nowsza

Aby naprawić lukę, zdecydowanie zaleca się zaktualizowanie Multimedia Console lub dodatku Media Streaming do najnowszej wersji. Ponadto w przypadku urządzeń z systemem QTS 4.3.3 i QTS 4.3.6 zdecydowanie zaleca się zaktualizowanie systemu QTS.

Jak to zrobić?

Aktualizacjia QTS:

  1. Zaloguj się do QTS jako administrator.
  2. Wybierz Panel sterowania > System > Aktualizacja oprogramowania .
  3. sekcji Aktualizacja na żywo kliknij Sprawdź aktualizacje .
    QTS pobiera i instaluje najnowszą dostępną aktualizację.

Wskazówka: aktualizację można również pobrać z witryny QNAP. Wybierz Pomoc > Centrum pobierania, a następnie przeprowadź ręczną aktualizację dla swojego urządzenia.

Aktualizacja Multimedia Console:

  1. Zaloguj się do QTS jako administrator.
  2. Otwórz App Center, a następnie kliknij .
    Pojawi się pole wyszukiwania.
  3. Wpisz „Konsola multimedialna”, a następnie naciśnij ENTER .
    Konsola multimedialna pojawi się w wynikach wyszukiwania.
  4. Kliknij Aktualizuj .
    Pojawi się komunikat potwierdzający.
    Uwaga: Aktualizacja przycisk jest niedostępny, jeśli konsola multimedialna jest już aktualne.
  5. Kliknij OK .
    Aplikacja jest aktualizowana.

Aktualizacja dodatku Media Streaming:

  1. Zaloguj się do QTS jako administrator.
  2. Otwórz App Center, a następnie kliknij .
    Pojawi się pole wyszukiwania.
  3. Wpisz „Media Streaming add-on”, a następnie naciśnij ENTER .
    W wynikach wyszukiwania pojawi się dodatek Media Streaming.
  4. Kliknij Aktualizuj .
    Pojawi się komunikat potwierdzający.
    Uwaga: Aktualizacja przycisk jest niedostępny, jeśli komputer Media Streaming dodatek już aktualne.
  5. Kliknij OK .
    Aplikacja jest aktualizowana.

Jeśli QNAP NAS został już zaatakowany, przedstawiamy rozwiązanie, które powinno pomóc.

Kluczowe jest nie restartowanie NAS!!!!

  1. NIE RESTARTUJ NAS
  2. Połącz się z urządzeniem przez SSH
  3. Wykonaj poniższe polecenie żeby sprawdzić, czy trwa szyfrowanie:
    ps | grep 7z
  4. Jeśli 7z działa, wykonaj komendę:
    cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000′ > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
  5. Poczekaj kilka minut i przy użyciu „cat” odczytaj klucz szyfrujący:
    cat /mnt/HDA_ROOT/7z.log
    Szukany wpis wygląda podobnie do:
    a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [FOLDER PATH]
    mFyBIvp55M46kSxxxxxYv4EIhx7rlTD To klucz do odszyfrowania plików – uwaga, dla każdego NAS może być inny
  6. Zrestartuj NAS i przy użyciu klucza mFyBIvp55M46kSxxxxxYv4EIhx7rlTD Odszyfruj pliki.

Więcej informacji dostępne jest na stronie QNAP.