[爆卦]QNAP NAS 勒索病毒是什麼?優點缺點精華區懶人包

為什麼這篇QNAP NAS 勒索病毒鄉民發文收入到精華區:因為在QNAP NAS 勒索病毒這個討論話題中,有許多相關的文章在討論,這篇最有參考價值!作者banman (班曼沃爾)看板Storage_Zone標題Re: [情報] QNAP NAS遭勒...


大家

那個不幸的,這次我的QNAP中勒索了。
4/21 下午四點多中招,今天早上才發現
整個NAS裡面低於20MB的檔案都被鎖定成.7z的壓縮檔。
並且該目錄下有個 !!!READ_ME.txt 文字檔
裡面有付贖金的方式跟要提供的金鑰
(我早上已有回報QNAP的支援需求單,還在等待)
(看網路上的內容,贖金是0.01比特幣)

目前還沒有什麼中文的網站有報導。
4/23更新 有中文的網站報導
新聞標題:威聯通NAS遭勒索軟體Qlocker攻擊,疑似甫修補的重大漏洞惹禍
https://www.ithome.com.tw/news/144004

可以參考
QNAP論壇的用戶回饋裡面的這篇。
https://forum.qnap.com/viewtopic.php?f=45&t=160849

或是下面這篇這個網址
標題是:
Massive Qlocker ransomware attack uses 7zip to encrypt QNAP devices

(抱歉,沒有縮網址)
https://www.bleepingcomputer.com/news/security/massive-qlocker-ransomware-
attack-uses-7zip-to-encrypt-qnap-devices/
↑這裡面好像說有找到破解勒索的金鑰方法了,但4/22晚上10點前才會提供。
(美東時間10am)
4/23更新 這個方式確定失效了,被對方防堵


曾經我以為有設定快照,就沒什麼問題了。
但這次中招後,我想要恢復快照時,卻發現我的快照儲存也被處理掉了。
所以 我之後除了原本NAS裡面放快照之外,也會在外部儲存那邊放快照備份

希望大家的QNAP NAS在這波 沒有中。
也希望大家可以多提供 如何可以降低中獎的方法。
(我之前都沒注意,沒像那些文章內的把一些關掉或刪掉)

4/23 17:25更新,我4/22早上申請的QNAP需求 4/22下午開啟遠端協助
QNAP應該是剛剛16:00~17:25左右有進去遠端協助 剛傳過來回覆做一個段落。
以下是QNAP回覆內容的部分
XX先生你好

不好意思讓你久候,連線NAS查看加密動作已告一段落(請參考附檔截取的資訊),請參考步
驟將NAS重新初始化以恢復使用,造成不便深感抱歉。

心得: 1. 真的要準備贖金去贖回我的資料了 (來去研究買幣跟提供..)
2. 要多備份(離線 異地)
3. 該說攻擊方的贖金設定還蠻合理的嗎?? (比起硬碟壞掉的救援撈資料差不多)

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.130.229.53 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Storage_Zone/M.1619076303.A.7A9.html
evilufox : 高調一下 nas是大家重要的備份與防勒索病毒手段 04/22 15:39
evilufox : 連nas都會中的話 一些防禦機制需要讓大家都知道較好 04/22 15:40
andy199113 : 高調 04/22 15:45
B0988698088 : 一般入侵也只是因為你當作網路硬碟用而已 根本不是 04/22 15:53
B0988698088 : 因為這些病毒有多神能辨識出你是不是Nas 04/22 15:53
flypenguin : 連快照備份都被清掉是怎麼辦到的 @@? 04/22 15:53
flypenguin : 好像要登入 NAS 才能清,沒辦法用檔案感染的方式? 04/22 15:54
B0988698088 : 還是先搞清楚你路由以及快照怎麼設定的 另外 歸零 04/22 15:54
B0988698088 : 就歸零 清零是支語ㄇ? 04/22 15:54
banman : 我從早上爬網路文章到現在,好像是針對QNAP的漏洞 04/22 15:58
banman : 那些文章內也有人懷疑,因為我不確定,所以沒寫出來 04/22 15:59
banman : 也因此 這次的勒索被命名為QLOCKER 04/22 15:59
bitlife : QNAP的快照是什麼機制? 如果是zfs或btrfs,那感覺比 04/22 16:01
bitlife : 較像管理帳號被入侵 04/22 16:01
evilufox : 花點時間看內容吧 就是針對QNAP的服務port漏洞阿 04/22 16:04
banman : 我當初爬文的時候,別人說不像是被刪除,是被改名 04/22 16:05
evilufox : 這是標準的勒索病毒方式 但之前都是windows上被執行 04/22 16:06
evilufox : 程式 然後針對所有該機台可讀取到的硬碟與網芳執行 04/22 16:06
banman : 所以才沒有用"刪除" 04/22 16:07
evilufox : 加密壓縮 所以這些NAS在不透過網芳分享的情況下是很 04/22 16:07
evilufox : 安全的 但這漏洞發生後 以後得再增加更多的防禦機制 04/22 16:08
Kennyq : NAS的第一個字就是network的縮寫阿! 04/22 16:11
chienmars : FB的NAS社團有教如何解密 04/22 16:12
Kennyq : 之前也是有直攻445port的勒鎖病毒阿 04/22 16:14
chang0206 : 你NAS是裸奔嗎? 04/22 16:17
qwe753951 : 這就是備份的重要性 04/22 16:50
chang0206 : 紅的明顯 可以請教原PO 你NAS是不是有開port mappin 04/22 16:54
chang0206 : 進來,可以直接從internet 存取你的NAS? 04/22 16:54
banman : 就內建的 myQNAPcloud,查了後才說該關的沒關 QQ" 04/22 17:03
maniaque : 說真的,或許鄉民得感謝win10 這麼雞巴郎的強迫更新 04/22 17:11
maniaque : nas更新權在owner ,又是 7x24,要是ip裸奔更有趣 04/22 17:12
sqr : 請教樓上 所謂"該關的沒關"是指什麼? 感謝指教! 04/22 17:13
sqr : 小弟是想請教原po banman大 04/22 17:13
Fortis931 : 什麼時候QnapCloud變預設了阿哈哈哈 04/22 19:05
worldark : 什麼quickconnect mycloud我都是不敢用的... 04/22 21:07
AISC : 要更新nas了? 04/22 22:53
flypenguin : 好奇,quickconnect 跟自己設 DDNS+port forwarding 04/22 22:56
flypenguin : 安全性上有差嗎 0.0? 好像後者能自己換 port 而已 04/22 22:56
HMKRL : 那種東西基本上就是個後門 誰知道server幾時會被打 04/22 23:25
flypenguin : 爬完文,好古典的手法,直接鑽系統漏洞,NAS 執行 04/23 00:49
flypenguin : 相關套件連上網路就會感染;不是用入侵的。 04/23 00:49
flypenguin : 用的是 Hybrid Backup Sync 這套件的權限。 04/23 00:49
※ 編輯: banman (220.130.229.53 臺灣), 04/23/2021 08:17:53
firingmoon : 又來了 我公司前年10月才中= = 04/23 09:36
middle1023 : 一樣中了..快照也被刪了 囧 04/23 10:34
lwrwang : 看來是有裝Hybrid Backup Sync的才有可能會中 04/23 10:44
Segal : 而且是硬撞進來的,想知道苦主們pwd長度幾位才被開 04/23 11:12
bitlife : 看了一下QNAP官網對對快照的簡單說明,是用ext4檔案 04/23 11:51
bitlife : 系統快照.雖然不清楚細節為何,但是這種和zfs,btrfs 04/23 11:51
bitlife : 的檔案版本(copy on write)的機制感覺是不一樣的,有 04/23 11:53
bitlife : 錯請幫我更正 04/23 11:53
lwrwang : 這一次是用系統漏洞的0-day攻擊,不是破解密碼 04/23 13:25
banman : 我差不多要準備贖金來救我的資料阿~~~~ 04/23 13:42
wario2014 : 看來,nas 要準備兩台才行,一台上線,一台離線 04/23 16:13
fujisawa : 離線就不需要NAS了吧 買個外接硬碟定期備份一下就好 04/23 17:24
※ 編輯: banman (220.130.229.53 臺灣), 04/23/2021 17:32:22
fujisawa : 現在NAS很多軟體都能USB接上去後自動備份了 04/23 17:25
choosin : 離線的沒版控也沒用 只是把被綁架的系統複製一份 04/23 17:55
neosrx : 幹 我中了 04/23 21:06
ccbbaa : 1w5...就當作硬碟壞掉救援了orz.. 04/24 15:01
flypenguin : 備份有版控啊,Synology Hyper Backup 可自選還原點 04/24 15:12
flypenguin : QNAP 應該也有類似的備份套件。 04/24 15:12
flypenguin : 應該沒人那麼可愛備份是用複製貼上到外接裝置吧。 04/24 15:12
c08110831 : 回樓上,我... 04/24 15:34
maniaque : 樓上跟樓樓上 在一起 在一起 在一起~~~~(起哄ing) 04/24 15:58
maniaque : 備份批次或程式啦,不然好歹用 fastcopy 之類軟體吧 04/24 15:59
flypenguin : 請愛用備份套件,我記得也有複製原始檔沒版控的 0.0 04/24 15:59
flypenguin : 都排程讓他睡覺時間跑,很久沒手動備份了。 04/24 16:00
zu00405479 : 今天要用檔案才發現我也中了,星期六還有開檔案OK的 04/26 18:27
zu00405479 : 還在想資料夾都有帳密怎麼會中招... 04/26 18:28
selfhu : 我都用bat+RAR自己土砲第二備份 04/27 01:41
yao : 我也中了...幸好是影片槽 影片幾乎沒被動 但字幕.. 05/01 14:09
daviddogtw : 請問有人付過贖金了嗎? 05/02 01:18
banman : 等了一周幣託的錢包身分驗證,今天凌晨去全家買幣 05/04 15:20
banman : 付贖金後等待txid的確認(大概40分),就拿到密碼了 05/04 15:25

你可能也想看看

搜尋相關網站