Qlocker 06/01/2022

[PiaNi]

Allora, facciamo un riepilogo. Le impostazioni del nas sono tante ed un po' sparse. Se vanno attuate tutte si è sicuri al 99%.
Io con 2 nas sempre attivi, e con diverse porte (inutili) esposte non sono stato attaccato nè ad aprile, nè a gennaio, e ho solo malware remove, non ho neanche il firewall installato.

L'accesso da remoto attraverso myqnapcloud è un bene perchè in qnap hanno un firewall o qualcosa e quando vedono attacchi seriali, lo inibiscono.
Meglio non poter accedere che avere i dati criptati.

Altra premessa, il nas deve essere un backup o deve fare un backup su altra destianzione, NON deve essere l'UNICO archivio. Metteteci i film o serie tv, ma le foto di famiglia o i documenti devono esserci da qualche altra parte!!

Per le impostazioni da fare, cercherò di trovare il post di selvaggi ed integrarlo. Oppure le inserisco qui, vediamo se ho un po' di tempo.

Resta il fatto che ho dato una sbirciatina al forum di synology e lì non ho letto di lamentele.
Terramster invece è stao colpito: https://nascompares.com/2022/01/18/terr ... ansomware/

La password robusta non serve a molto, perchè è chiaro che non sono entrati da lì.

[sjuemh2]

Grazie Piani. Il mio problema, come per tutti coloro che hanno Fastweb, è che il router Fastgate non consente di intervenire chiudendo la porta indicata (8080). Posso al massimo provare a creare un port forwarding mandandola su un ip fasullo e creare una nuova porta per la connessione con il Nas. Se ciò è utile. Esistono altre soluzioni?
Ciò detto, io resto dell'idea che nel mio caso siano entrati dalla App photo o video. Per una strana ragione a casa, in coincidenza quasi con l'avvio del processo zip, la mia TV (connessa alla rete) è andata in tilt e non ne voleva sapere di collegarsi, tanto da dover fare un reset staccando per un minuto la corrente. Casualità?

Entrambe le app erano disabilitate sul mio TS-112P.
Ammetto che l'Upnp era attivo e le porte erano quelle standard, ma mai avrei pensato che con questi due elementi fosse così facile bucare un Nas Qnap.
Sebbene non ci siano comunicazioni ufficiali, continuo a pensare che il punto debole stavolta sia stato il MyQnapCloud.

Io trovo bizzarro che le comunicazioni di Qnap parlano invece di utilizzare Myqnapcloud per raggiungere il NAS in remoto, come modalità elettiva. Anche perché se chiudiamo tutte le porte e non abbiamo VPN o utilizziamo firewall fisici etc., mi sa che le vulnerabilità permangono.
Trovo inconcepibile che ce la facciano a fette con "password robusta" (la mia era di 18 caratteri!!!), autenticazione forte etc, ma poi ti entrano sul sistema senza neanche farsene accorgere (sul registro accessi NULLA).
Per me grande delusione. Adesso domani organizzerò un reset del sistema con ripristino delle impostazioni originali, speravo di impiegare il we in modo più divertente, pazienza. Vedrò di strutturare il sistema in modo "meno insicuro", inoltre inserirò in ordine alfabetico una prima cartella "spia" ed una seconda molto pesante, in modo che un tentativo di zip venga "frenato" da file non importanti e densi, ma vi confesso che non mi entusiasma l'idea di dovermi collegare anche in ferie ogni santo giorno per verificare se la prima cartella "spia" è stata zippata.

Password molto lunga, cambiata spesso... E anche a me nessuna traccia sul registro.
Nella foga dei momenti immediatamente successivi alla scoperta dell'attacco mi sembrava di aver letto da qualche parte un paio di accessi con utente admin (test, a), ma poi non sono riuscito a trovare più nulla.
Tra l'altro ad admin era interdetto l'accesso ad alcune cartelle, che invece sono state colpite ugualmente.
Inoltre la guida Qnap non era applicabile al mio caso, in quanto con la mia versione di QTS non era possibile rinominare il disco formattato.
Ho recuperato il 59% dei file con PhotoRec e Q-recover.
Ho già acquistato ed ho messo in uso un Synology, con impostazioni più restrittive, ma non mi fido più di Qnap.

[PiaNi]

Purtroppo tutto è iniziato da quando 7zip gira anche su linux. In qualche modo installano questa app e zippano con password.

[nicolam]

Allora, facciamo un riepilogo. Le impostazioni del nas sono tante ed un po' sparse. Se vanno attuate tutte si è sicuri al 99%.
Io con 2 nas sempre attivi, e con diverse porte (inutili) esposte non sono stato attaccato nè ad aprile, nè a gennaio, e ho solo malware remove, non ho neanche il firewall installato.

L'accesso da remoto attraverso myqnapcloud è un bene perchè in qnap hanno un firewall o qualcosa e quando vedono attacchi seriali, lo inibiscono.
Meglio non poter accedere che avere i dati criptati.

Altra premessa, il nas deve essere un backup o deve fare un backup su altra destianzione, NON deve essere l'UNICO archivio. Metteteci i film o serie tv, ma le foto di famiglia o i documenti devono esserci da qualche altra parte!!

Per le impostazioni da fare, cercherò di trovare il post di selvaggi ed integrarlo. Oppure le inserisco qui, vediamo se ho un po' di tempo.

Resta il fatto che ho dato una sbirciatina al forum di synology e lì non ho letto di lamentele.
Terramster invece è stao colpito: https://nascompares.com/2022/01/18/terr ... ansomware/

La password robusta non serve a molto, perchè è chiaro che non sono entrati da lì.

Senza necessariamente essere uno "smanettone", riesco ad entrare nei meccanismi, ma poi mi fermo. Ad esempio:
1) ho un router Fastgate che non ti consente di toccare la porta 80 e neanche inibire delle porte (es. 8080), come posso fare? Proverò, come detto, a mappare la 8080 in modo che finisca nel nulla, per attivarne una che inserirò nel pannello del NAS, speriamo funzioni
2) con la APP Myqnapcloud posso accedere a QTS ma se provo con il PC mi dice che l'accesso non è consentito. Da remoto non posso quindi fare nulla su QTS, ma solo quelle (poche) impostazioni da APP, altrimenti devo essere in rete (a casa, dove ho il NAS).
Se provo ad utilizzare il nuovo link, questa è la risposta

Provo quindi ad accedere all'account Myqnapcloud, sembrerebbe tutto ok

vado sul link ed accedo ai servizi

A questo punto accedo a QTS, ma me lo nega

Motivo??

[PiaNi]

A questo punto accedo a QTS, ma me lo nega
Catturaqnap2.JPG

Motivo??

Questo messaggio l'ho avuto io nei giorni scorsi, stamattina senza fare nulla, funziona.

[nicolam]

A questo punto accedo a QTS, ma me lo nega
Catturaqnap2.JPG

Motivo??

Questo messaggio l'ho avuto io nei giorni scorsi, stamattina senza fare nulla, funziona.

A me non funziona da tre giorni, riproverò nuovamente, grazie

[PiaNi]

Questi i miei settaggi, fatti da remoto, perciò con l'accesso funzionante.

[PiaNi]

Ovviamente help desk disattivata (perchè permette l'accesso remoto a Qnap, ma non si sa mai), server WEB, FTP e compagnia bella, tutti disattivati.
Così come lo screenshot di Telnet, solo in SSH.

Non ricordo di aver fatto altro per "chiudermi".

[PiaNi]

Dimenticato, ho centro notifiche con diverse regole.
Mi riempie di email, ma meglio averle soprattutto verso una casella di gmail, che arrivano quasi in tempo reale sullo smarphone.

[nicolam]

Sei gentilissimo PiaNi, da una verifica dei tuoi settaggi, posso dire che i miei sono identici, fatto salvo il pannello dei servizi, dove tu non flagghi proprio nulla (e farò lo stesso) e Telnet/SSH (che io ho disattivato). Grazie davvero per l'aiuto ed il supporto

[PiaNi]

Sei gentilissimo PiaNi, da una verifica dei tuoi settaggi, posso dire che i miei sono identici, fatto salvo il pannello dei servizi, dove tu non flagghi proprio nulla (e farò lo stesso) e Telnet/SSH (che io ho disattivato). Grazie davvero per l'aiuto ed il supporto

Infatti, fini a qualche giorno fa, in pannello dei servizi, avevo attivo un po' di cose, credendo fossero necessari a myqnapcloud.
Dopo la circolare Qnap che parlava di disattivare l'upnp, ho tolto tutto.

[maxanet]

Ciao a tutti,

per aumentare la sicurezza e evitare questi problemi può aver senso fare anche la procedura per l'uso del certificato SSL ?

Io non uso Myqnapcloud, ma mi pare di capire che se và esposta su internet è consigliabile usare il loro servizio ?
Grazie

[ciso73]

Salve ragazzi, anch'io sono stato attaccato il 6 gennaio.
Purtroppo me ne sono accorto solo mercoledì scorso 12 gennaio!
Per fortuna non ha attaccato tutto ma alcuni documenti mi mancano anche nel backup.
Ora vorrei fare la procedura suggeritami nel ticket di qnap ma purtroppo pare sia necessario lo storage&snapshot manager che il mio vecchiotto TS-112P non ha e quindi non posso rinominare il disco esterno in "rescue" per farlo riconoscere da qrescue ecc ecc.....sigh!

Qualcuno è così gentile da darmi qualche consiglio?
Sto provando a spostare il disco su un appena acquistato TS-231P2 (con quindi storage&snapshot)...ma non so se basta spostare il disco e accoppiare uno nuovo nel secondo slot per lasciarlo ricostruire....

Anche io 112P; impossibile rinominare il disco esterno come indicato nella guida Qnap.
Ho recuperato il 59% dei file seguendo questa procedura https://www.ikarussecurity.com/en/secur ... n/qlocker/
Ora tenterò un'altra passata con il PhotoRec in versione più "approfondita".
L'assistenza Qnap mi ha risposto dopo 3 giorni chiedendomi di abilitare l'assistenza remota, ma non l'ho ancora fatto, visto che il supporto della community mi sembra molto più efficiente.
Io sono riuscito utilizzando Telnet su porta 13131 tramite WSL e abilitando samba1 su Windows.

Salve sjuemh2, sto provando anch'io la procedura che hai suggerito ma sono fermo a:

"sudo mount -t cifs -o user=nas //192.168.1.2/Share /mnt/rescue-share
(replace nas with your user from above, 192.168.1.2 with the IP address of your PC, and
Share with the name of the share you created)"

nas è l'utente creato sul PC per avere i privilegi di accedere alla nuova cartella Share?
È corretto che l''IP è quello del PC e non quello del Qnap?
Share è su un nuovo disco esterno collegato al PC. È corretto che sia collegato al PC e non al Qnap?
Va bene anche un disco 2.5" collegato via USB?

Ti ringrazio per gli eventuali consigli!

[ciso73]

Io trovo che tra snapshot giornaliere, sincronizzazioni giornaliere su un disco 2.5" USB sempre attaccato e un altro analogo che viene fatto sincronizzare per esempio una volta alla settimana, si dovrebbe essere abbastanza al sicuro. Non al 100% ma i danni vengono davvero limitati a pochi files.
Ovvio che prima di sincronizzare quello settimanale, forse un occhio al primo file della lista vale la pena buttarcelo...

[nicolam]

Io trovo che tra snapshot giornaliere, sincronizzazioni giornaliere su un disco 2.5" USB sempre attaccato e un altro analogo che viene fatto sincronizzare per esempio una volta alla settimana, si dovrebbe essere abbastanza al sicuro. Non al 100% ma i danni vengono davvero limitati a pochi files.
Ovvio che prima di sincronizzare quello settimanale, forse un occhio al primo file della lista vale la pena buttarcelo...

La cosa più importante è un backup costante automatico e possibilmente quotidiano, con la possibilità di avere una serie di giornate memorizzate.
Poi, sulla base della mia personale esperienza empirica, suggerisco di avere la prima cartella con la lettera A (ad esempio) con un pò di file video in modo da rallentare enormemente il processo di zip ed avere il tempo di controllare che sia tutto ok.
Nulla di sofisticato, un pò come gli allarmi di una volta, che se entrava qualcuno dalla porta cascava una pentola in testa al malfattore e faceva sufficiente casino per svegliare tutti

[ciso73]

Ah ah ah….oppure un bel gatto incazzato!

Il backup costante non ripara da copie contraffatte. Ci vuole un backup secondario fatto manualmente dopo aver visionato questi primi file “spia”.

[nicolam]

Ah ah ah….oppure un bel gatto incazzato!

Il backup costante non ripara da copie contraffatte. Ci vuole un backup secondario fatto manualmente dopo aver visionato questi primi file “spia”.

Vero, ma con un backup quotidiano il rischio di perdere file importanti è davvero vicino allo zero. Nel mio caso, mi sono accorto del processo di zip la mattina dopo, ma se avessi fatto il mio backup quotidiano non avrei avuto problemi, alla peggio qualche sporadico file modificato o creato nel lasso temporale tra la creazione/modifica e la zippatura. E ricordo che, fin quando utilizzerano 7z per criptare i file, la password avrà efficacia solo al termine del processo, per cui il suggerimento di avere delle cartelle iniziali (alfabeticamente) piuttosto pesanti riduce a zero questo rischio.

[sjuemh2]

Salve ragazzi, anch'io sono stato attaccato il 6 gennaio.
Purtroppo me ne sono accorto solo mercoledì scorso 12 gennaio!
Per fortuna non ha attaccato tutto ma alcuni documenti mi mancano anche nel backup.
Ora vorrei fare la procedura suggeritami nel ticket di qnap ma purtroppo pare sia necessario lo storage&snapshot manager che il mio vecchiotto TS-112P non ha e quindi non posso rinominare il disco esterno in "rescue" per farlo riconoscere da qrescue ecc ecc.....sigh!

Qualcuno è così gentile da darmi qualche consiglio?
Sto provando a spostare il disco su un appena acquistato TS-231P2 (con quindi storage&snapshot)...ma non so se basta spostare il disco e accoppiare uno nuovo nel secondo slot per lasciarlo ricostruire....

Anche io 112P; impossibile rinominare il disco esterno come indicato nella guida Qnap.
Ho recuperato il 59% dei file seguendo questa procedura https://www.ikarussecurity.com/en/secur ... n/qlocker/
Ora tenterò un'altra passata con il PhotoRec in versione più "approfondita".
L'assistenza Qnap mi ha risposto dopo 3 giorni chiedendomi di abilitare l'assistenza remota, ma non l'ho ancora fatto, visto che il supporto della community mi sembra molto più efficiente.
Io sono riuscito utilizzando Telnet su porta 13131 tramite WSL e abilitando samba1 su Windows.

Salve sjuemh2, sto provando anch'io la procedura che hai suggerito ma sono fermo a:

"sudo mount -t cifs -o user=nas //192.168.1.2/Share /mnt/rescue-share
(replace nas with your user from above, 192.168.1.2 with the IP address of your PC, and
Share with the name of the share you created)"

nas è l'utente creato sul PC per avere i privilegi di accedere alla nuova cartella Share?
È corretto che l''IP è quello del PC e non quello del Qnap?
Share è su un nuovo disco esterno collegato al PC. È corretto che sia collegato al PC e non al Qnap?
Va bene anche un disco 2.5" collegato via USB?

Ti ringrazio per gli eventuali consigli!

Sì a tutte le domande.
Se hai difficoltà con quella procedura, prova a seguire quella suggerita da Qnap.

[ciso73]

Grazie, ma quale sarebbe? Per quella che mi hanno suggerito loro servirebbe il nuovo manager della gestion dischi che io purtroppo con il vecchio TS-122P non ho….

[sjuemh2]

Grazie, ma quale sarebbe? Per quella che mi hanno suggerito loro servirebbe il nuovo manager della gestion dischi che io purtroppo con il vecchio TS-122P non ho….

Stessa mia situazione.
L'assistenza mi aveva proposto di aprire l'accesso remoto, ma ho preferito non farlo, non esporrò più questo NAS, con questo firmware, alla rete.
Per esperienza personale, il consiglio che posso dare è di non tenerlo troppo acceso facendo svariati tentativi, perchè ad ogni riscrittura sono file che diventano non recuperabili. Io mi sono fermato al 59% di file recuperati, dopo 2 tentativi di PhotoRec con opzione "Whole" disk.