Qlocker 06/01/2022

[sjuemh2]

Ciao a tutti.
Pubblico in questa room non trovandone una più specifica.
Il 06/01/2022 il mio NAS (TS112P, QTS 4.3.3) è finito sotto un attacco con Qlocker, ed a quanto pare non sono stato l'unico in questa seconda tornata dopo quella di aprile (vedasi [in]tempestivo avviso da parte di Qnap del 07/01).
Probabilmente l'attacco è avvenuto tramite MyQnapCloud/QVPNservice, per il cui utilizzo il NAS era esposto alla rete.
Mi sono accorto dell'attacco in quanto il NAS improvvisamente non era più raggiungibile tramite Qfile (ed anche in locale), ed il giorno dopo ho trovato la sorpresa (dopo un inconsapevole riavvio): buona parte dei file sono stati criptati in formato .7z; fortunatamente sembra che lo script abbia improvvisamente interrotto la sua attività in ordine alfabetico: nella cartella in cui si è interrotto trovo i documenti ancora accessibili ed i file .7z (con lo stesso nome) corrotti ed inaccessibili.
Il firmware era aggiornato all'ultima versione, così come tutte le app (poche, tutte Qnap).
Malware Remover è stato reinstallato, in quanto a seguito dell'attacco era diventato inutilizzabile: dopo una scansione, tuttavia, non ha individuato nulla.
Sto cercando di seguire una delle guide relative al precedente attaco per provare a recuperare qualcosa, ma ho problemi nell'accesso tramite SSH e SFTP: con qualsiasi software (putty, filezilla, totalcommander, WNSCP, WLS) la connessione viene rifiutata. Riesco soltanto a connettermi via Telnet e FTP.
Ho provato in tutti i modi, anche cambiando router, ma risulta impossibile: è possibile che sia una conseguenza del ransomware? Come posso provare ad accedere tramite SSH?
Ringrazio in anticipo!

[rexanthony649]

Buongiorno,
anche io ho lo stesso problema su più qnap, ma non riesco ad accedervi nemmeno da browser che da cartella di rete.
AIutooooo

[maxanet]

Ciao,

anche io ieri ho avuto problema analogo sulla NAS dell'ufficio di mia sorella.
Appena mi ha scritto dicendomi che aveva dei file .encrypt gli ho fatto scollegare e spegnere la NAS.

Su 8 cartelle nè ha criptate 4, ho recuperato i dati dal disco USB su cui vengono fatti i backup e ce la siamo salvata.

Ho visto che QNAP dà delle indicazioni:

https://www.qnap.com/it-it/security-new ... l-qnap-nas

qualcuno ha provato a contattarli ?
Riescono a fare qualcosa in caso di criptazio totale, magari per quelli che non hanno i backup ?

[almandelli]

Pure io sono stato vittima del Qlocker in data 6 gennaio (con alcune cartelle criptate nella nottata del 7).
Ho il NAS TS219PII, firmware aggiornato etc.
Stavo provando un metodo di recupero ma purtroppo serve un hdd esterno con capacità almeno doppia della capienza dei dischi da recuperare (i miei sono di 2 Tb) e quindi con un hdd da 2 Tb ad un certo punto mi ha bloccato.
Anche a me sono state criptate solo alcune cartelle, non tutte (comunque tutte quelle recenti, solo le vecchie e inutilizzate si sono salvate)
Qualcuno ha trovato un modo per venirne fuori?

edit: ho aperto un ticket di assistenza sul sito QNAP, 2gg fa, ma finora nessuna risposta

[burghy]

Che servizi e che porte avevate pubblicate in internet?

[nicolam]

Buongiorno a tutti, anch'io ieri mattina ho sperimentato le palpitazioni quando ho scoperto che mi stavano crittando tutti i file sul NAS. Fortunatamente sono tantissimi e sono riuscito ad interrompere l'esecuzione del programma in tempo (aveva iniziato alle 18.50 del 13/01 e me ne sono accorto la mattina dopo, era arrivato al 20% del contenuto).
Sono stato particolarmente fortunato perché non dovevano essere degli hacker brillanti in quanto hanno dimenticato di zippare con la password (!!!), per cui ho dovuto pazientemente ricostruire i dati virtualmente zippati cartella per cartella (riscatto: ca. 1.200 euro)
Le impostazioni del NAS erano al 90% allineate alle indicazioni di QNAP ed alle vostre, ma sono entrati lo stesso. Mi sono fatto questa idea sulle possibili cause/concause, di cui al 50% sono anch'io responsabile: 1) QNAP (ebbene sì, io sono convinto che l'Azienda è consapevole di avere dei bug da qualche parte e ce lo nasconde) 2) videostation, photostation: sono spesso additate come cavallo di troia, sarà un caso o meno, ma poco prima dell'ora in cui è partito l'esecutivo zip, la TV a casa è andata in tilt (è connessa in rete) 3) non avevo ancora disattivato UPNP sia su NAS che su router 4) non riesco a chiudere le porte aperte (ne ho 2, la 8080 e la 8888 in quanto il Fastgate casalingo mi consente solo di fare un forward mapping manuale ma non di chiuderle); inoltre la classica porta "80" è utilizzata da Fastweb e non posso toccarla (il router non lo prevede) 5) non avevo adoperato il sistema di autenticazione a 2 fattori nè avevo installato QuFirewall (ma avrebbe aiutato?) mentre Malware Remover di notte ha fatto la sua consueta scansione non rilevando nulla (???).
In questo momento sto facendo il back-up del disco, formatterò tutto e ripristinerò il NAS, consapevole che, per abbassare i rischi (che non saranno mai zero), dovrò fare qualche ragionamento, come VPN o inserire un router/firewall fisico prima del NAS.
Il mio messaggio a tutti è: fate attenzione, non rimandate a domani alcuni dei principali saggi suggerimenti che qui vengono più volte ripetuti, in primis eseguire un back-up quotidiano del disco. Non esiste sicurezza zero nella vita, ma possiamo migliorare la situazione o rendere meno facile l'accesso a questi criminali (che, nel mio caso, hanno però anche dimostrato di essere un pò ruspanti). Un caro saluto a tutti.

[PiaNi]

Non esiste sicurezza zero nella vita

Volevi scrivere, non esiste sicurezza 100 nella vita?

[ciso73]

Salve ragazzi, anch'io sono stato attaccato il 6 gennaio.
Purtroppo me ne sono accorto solo mercoledì scorso 12 gennaio!
Per fortuna non ha attaccato tutto ma alcuni documenti mi mancano anche nel backup.
Ora vorrei fare la procedura suggeritami nel ticket di qnap ma purtroppo pare sia necessario lo storage&snapshot manager che il mio vecchiotto TS-112P non ha e quindi non posso rinominare il disco esterno in "rescue" per farlo riconoscere da qrescue ecc ecc.....sigh!

Qualcuno è così gentile da darmi qualche consiglio?
Sto provando a spostare il disco su un appena acquistato TS-231P2 (con quindi storage&snapshot)...ma non so se basta spostare il disco e accoppiare uno nuovo nel secondo slot per lasciarlo ricostruire....

[nicolam]

Non esiste sicurezza zero nella vita

Volevi scrivere, non esiste sicurezza 100 nella vita?

Ehm... in effetti, intendevo "non esiste zero rischi"...

Una domanda flash: malware remover non ha trovato alcuna infezione, peraltro anche durante il processo di zip...ho fatto un backup dei dati su un HDD esterno e ho provveduto a scansionarlo con mille SW (Malwarebytes, Sbybot, Emsisoft etc.), i quali non hanno rilevato nulla di anomalo.

Intendevo fare un reset del volume (ho un 228 con due dischi) e ripartire da capo, c'è qualcosa che mi suggerite? Grazie

[Kod]

Ciao, purtroppo anch'io ho scoperto qualche ora fa di essere vittima di Qlocker.
Nel mio caso hanno criptato centinaia di giga di foto personali, oltre a molti files multimediali.
Chiaramente dal 6 gennaio ad oggi il mio NAS si é riavviato piú volte e quindi non c'é speranza di recuperare la password dei files.
Non ho un backup esterno dei dati contenuti nel NAS, lui stesso fungeva da storage/backup per molti dei contenuti.

No ho ancora aggiornato il firmware, mi spaventa che sovrascriva qualcosa che potrebbe essere utile per la procedura di recupero, se ne esiste una...

Mi chiedevo se qualcuno di voi ha risolto e in che modo.

Grazie.

[ciso73]

Kod, da quel che so, vi sono due procedure di recupero. Una suggerita da qnap:

e una da provare quando il processo di decrittazione e ancora in corso:


Per me la seconda è tardi, per la prima invece nel mio ts-112P non ho lo storage manager giusto.
Sto cercando di capire se posso passare il disco in un qnap più recente ma non trovo compatibilità di migrazione….

[sjuemh2]

Salve ragazzi, anch'io sono stato attaccato il 6 gennaio.
Purtroppo me ne sono accorto solo mercoledì scorso 12 gennaio!
Per fortuna non ha attaccato tutto ma alcuni documenti mi mancano anche nel backup.
Ora vorrei fare la procedura suggeritami nel ticket di qnap ma purtroppo pare sia necessario lo storage&snapshot manager che il mio vecchiotto TS-112P non ha e quindi non posso rinominare il disco esterno in "rescue" per farlo riconoscere da qrescue ecc ecc.....sigh!

Qualcuno è così gentile da darmi qualche consiglio?
Sto provando a spostare il disco su un appena acquistato TS-231P2 (con quindi storage&snapshot)...ma non so se basta spostare il disco e accoppiare uno nuovo nel secondo slot per lasciarlo ricostruire....

Anche io 112P; impossibile rinominare il disco esterno come indicato nella guida Qnap.
Ho recuperato il 59% dei file seguendo questa procedura https://www.ikarussecurity.com/en/secur ... n/qlocker/
Ora tenterò un'altra passata con il PhotoRec in versione più "approfondita".
L'assistenza Qnap mi ha risposto dopo 3 giorni chiedendomi di abilitare l'assistenza remota, ma non l'ho ancora fatto, visto che il supporto della community mi sembra molto più efficiente.
Io sono riuscito utilizzando Telnet su porta 13131 tramite WSL e abilitando samba1 su Windows.

[nicolam]

Una precisazione ed un suggerimento (molto italiota): ho capito perché mi sono ritrovato i file zippati senza password. Semplice: il processo di zippatura non si era concluso! Nel mio caso, avrebbero impiegato un paio di giorni, visto che in 18 ore erano arrivati al 15% dell'hard disk. Da ciò mi pongo due domande: 1) forse è il caso di uploadare nel NAS una cartella (che inizia per A, es. Andromeda) contenente file molto "pesanti", come film (di cui abbiamo magari già un backup a parte) in modo da rallentare sensibilmente il processo di zip e avere il tempo di monitorare se è tutto ok 2) esiste un modo per interrompere un processo di zip? a me a volte è capitato che alcuni file, in caso di zippatura massiva, creano un ostacolo al processo interrompendolo.
Mi rendo conto che sono due possibili stratagemmi di bassissimo cabotaggio, ma l'esperienza vissuta mi porta a queste considerazioni.

[n3rv0x]

Una precisazione ed un suggerimento (molto italiota): ho capito perché mi sono ritrovato i file zippati senza password. Semplice: il processo di zippatura non si era concluso! Nel mio caso, avrebbero impiegato un paio di giorni, visto che in 18 ore erano arrivati al 15% dell'hard disk. Da ciò mi pongo due domande: 1) forse è il caso di uploadare nel NAS una cartella (che inizia per A, es. Andromeda) contenente file molto "pesanti", come film (di cui abbiamo magari già un backup a parte) in modo da rallentare sensibilmente il processo di zip e avere il tempo di monitorare se è tutto ok 2) esiste un modo per interrompere un processo di zip? a me a volte è capitato che alcuni file, in caso di zippatura massiva, creano un ostacolo al processo interrompendolo.
Mi rendo conto che sono due possibili stratagemmi di bassissimo cabotaggio, ma l'esperienza vissuta mi porta a queste considerazioni.

Si in effetti non male come idea , può essere una buona soluzione posticcia, ma molto efficace

[PiaNi]

Sul sito Qnap, ho trovato queste pagine, parzialemnte già pubblicate, relative a Qlocker:

https://www.qnap.com/it-it/security-new ... l-qnap-nas

https://www.qnap.com/static/landing/202 ... nse/it-it/

https://www.qnap.com/it-it/how-to/tutor ... u-nas-qnap

Spero vi siano di aiuto.

[nicolam]

Grazie Piani. Il mio problema, come per tutti coloro che hanno Fastweb, è che il router Fastgate non consente di intervenire chiudendo la porta indicata (8080). Posso al massimo provare a creare un port forwarding mandandola su un ip fasullo e creare una nuova porta per la connessione con il Nas. Se ciò è utile. Esistono altre soluzioni?
Ciò detto, io resto dell'idea che nel mio caso siano entrati dalla App photo o video. Per una strana ragione a casa, in coincidenza quasi con l'avvio del processo zip, la mia TV (connessa alla rete) è andata in tilt e non ne voleva sapere di collegarsi, tanto da dover fare un reset staccando per un minuto la corrente. Casualità?

[PiaNi]

E' molto probabile, perchè se guardi Photo Station, gli ultimi 4 aggiornamenti parlano escusivamente di Security update.

Non ho guardato la procedura, ma potresti usare uno switch di rete e creare una lan indipendete da tutto per usare la 8080, oppure cambiare la porta di sistema del nas in Sistema > impostazioni generali > Amministrazone di sistema. Ma ripeto non ho visto le guide, perchè sono stato fino ad oggi immune, e poi sono "rientrato" in possesso del mio nas fuori uso da una settimana, ma questa volta è stata colpa mia!
Solo oggi hanno fatto l'assistenza da remoto, stanno dando priorità a chi ha problemi con Qlocker.

[sjuemh2]

Grazie Piani. Il mio problema, come per tutti coloro che hanno Fastweb, è che il router Fastgate non consente di intervenire chiudendo la porta indicata (8080). Posso al massimo provare a creare un port forwarding mandandola su un ip fasullo e creare una nuova porta per la connessione con il Nas. Se ciò è utile. Esistono altre soluzioni?
Ciò detto, io resto dell'idea che nel mio caso siano entrati dalla App photo o video. Per una strana ragione a casa, in coincidenza quasi con l'avvio del processo zip, la mia TV (connessa alla rete) è andata in tilt e non ne voleva sapere di collegarsi, tanto da dover fare un reset staccando per un minuto la corrente. Casualità?

Entrambe le app erano disabilitate sul mio TS-112P.
Ammetto che l'Upnp era attivo e le porte erano quelle standard, ma mai avrei pensato che con questi due elementi fosse così facile bucare un Nas Qnap.
Sebbene non ci siano comunicazioni ufficiali, continuo a pensare che il punto debole stavolta sia stato il MyQnapCloud.

[nicolam]

E' molto probabile, perchè se guardi Photo Station, gli ultimi 4 aggiornamenti parlano escusivamente di Security update.

Non ho guardato la procedura, ma potresti usare uno switch di rete e creare una lan indipendete da tutto per usare la 8080, oppure cambiare la porta di sistema del nas in Sistema > impostazioni generali > Amministrazone di sistema. Ma ripeto non ho visto le guide, perchè sono stato fino ad oggi immune, e poi sono "rientrato" in possesso del mio nas fuori uso da una settimana, ma questa volta è stata colpa mia!
Solo oggi hanno fatto l'assistenza da remoto, stanno dando priorità a chi ha problemi con Qlocker.

Grazie per i suggerimenti. Il più immediato è chiaramente il secondo, avevo ipotizzato di variare la 8080 in un'altra porta e poi fare un forward mapping nel router fastweb (che ad esempio avevo fatto per leggere il NAS in remoto con RAIDrive). Nel frattempo, avendo disabilitato UPNP sia lato Nas che lato router, accedere da remoto a QTS è complicato, perché utilizzando Myqnapcloud:8080 non trova nulla e quindi devo prima accedere a Myqnapcloud, successivamente utilizzare il link all'interno della pagina per accedere a QTS (e a volte non funziona).
In questo momento sto valutando un Cloud (es. Onedrive o PCloud) con utilizzo di RaiDrive sul PC (nel caso di PCloud) in modo che possa leggere le cartelle direttamente da "esplora risorse". Lascerò il NAS come destinazione di un ulteriore backup, per musica e AMEN

[nicolam]

Grazie Piani. Il mio problema, come per tutti coloro che hanno Fastweb, è che il router Fastgate non consente di intervenire chiudendo la porta indicata (8080). Posso al massimo provare a creare un port forwarding mandandola su un ip fasullo e creare una nuova porta per la connessione con il Nas. Se ciò è utile. Esistono altre soluzioni?
Ciò detto, io resto dell'idea che nel mio caso siano entrati dalla App photo o video. Per una strana ragione a casa, in coincidenza quasi con l'avvio del processo zip, la mia TV (connessa alla rete) è andata in tilt e non ne voleva sapere di collegarsi, tanto da dover fare un reset staccando per un minuto la corrente. Casualità?

Entrambe le app erano disabilitate sul mio TS-112P.
Ammetto che l'Upnp era attivo e le porte erano quelle standard, ma mai avrei pensato che con questi due elementi fosse così facile bucare un Nas Qnap.
Sebbene non ci siano comunicazioni ufficiali, continuo a pensare che il punto debole stavolta sia stato il MyQnapCloud.

Io trovo bizzarro che le comunicazioni di Qnap parlano invece di utilizzare Myqnapcloud per raggiungere il NAS in remoto, come modalità elettiva. Anche perché se chiudiamo tutte le porte e non abbiamo VPN o utilizziamo firewall fisici etc., mi sa che le vulnerabilità permangono.
Trovo inconcepibile che ce la facciano a fette con "password robusta" (la mia era di 18 caratteri!!!), autenticazione forte etc, ma poi ti entrano sul sistema senza neanche farsene accorgere (sul registro accessi NULLA).
Per me grande delusione. Adesso domani organizzerò un reset del sistema con ripristino delle impostazioni originali, speravo di impiegare il we in modo più divertente, pazienza. Vedrò di strutturare il sistema in modo "meno insicuro", inoltre inserirò in ordine alfabetico una prima cartella "spia" ed una seconda molto pesante, in modo che un tentativo di zip venga "frenato" da file non importanti e densi, ma vi confesso che non mi entusiasma l'idea di dovermi collegare anche in ferie ogni santo giorno per verificare se la prima cartella "spia" è stata zippata.