Qlocker 06/01/2022

Utilizzate questo forum per qualsiasi argomento che non è categorizzato altrove.
robs79
Messaggi: 3
Iscritto il: 24 giu 2019, 22:06

Re: Qlocker 06/01/2022

Messaggio da robs79 »

sjuemh2 ha scritto: 24 gen 2022, 00:32 Stessa mia situazione.
L'assistenza mi aveva proposto di aprire l'accesso remoto, ma ho preferito non farlo, non esporrò più questo NAS, con questo firmware, alla rete.
Per esperienza personale, il consiglio che posso dare è di non tenerlo troppo acceso facendo svariati tentativi, perchè ad ogni riscrittura sono file che diventano non recuperabili. Io mi sono fermato al 59% di file recuperati, dopo 2 tentativi di PhotoRec con opzione "Whole" disk.
Ciao, quindi ogni volta che si prova la procedura di recupero con photorec, i file diventano irrecuperabili?
Com'é possibile sta cosa?
maxanet
Messaggi: 94
Iscritto il: 30 dic 2009, 09:58

Re: Qlocker 06/01/2022

Messaggio da maxanet »

Mi pare di capire che avere queste "snapshot" può aiutare molto, oltre ad avere i backup.

Ma per farle devo ri-inizializzare i dischi da static a thin o thick.
Una volta fatto, qualora uno debba invece recuperare i dati dai dischi si riesce lo stesso ?

Perche' con i static uno monta il raid su una macchina linux con l'mdadm e riesce ad accedere, se si creano questi storagepool e i dischi thin o thick cambia qualcosa ?

Qualcuno mi aiuta a capire se usare il certificato SSL può aiutare a migliorare la security per queste problematiche ?
For Data = Synology 918+
For Multimedia = TS 439 Pro
For Downloads = TS 239 Pro II+
For Backup = Asustor 604T
sjuemh2
Messaggi: 23
Iscritto il: 10 set 2014, 11:28

Re: Qlocker 06/01/2022

Messaggio da sjuemh2 »

Non una buona notizia per i possessori di vecchi modelli Qnap come il mio TS-112P (architettura ARMv5).
Il servizio clienti ha appena risposto come segue al ticket di supporto:
Essendo il 112P un modello con vecchia architettura software per lo storage, non è possibile recuperare i dati tramite Qrescue.

Consigliamo di rivolgersi ad agenzie specializzate per il settore del recupero dati.
L'unica possibile è quindi la procedura con PhotoRec.
Avatar utente
PiaNi
Messaggi: 4305
Iscritto il: 25 ott 2011, 22:39
Località: Bari

Re: Qlocker 06/01/2022

Messaggio da PiaNi »

Gigabyte B550M Aorus Pro-P | Ryzen 5700x + Scythe Fuma 2 | nVidia RTX 3060 12GB | NVMe WDBlack 500GB + WD HC530 14TB
TS 473A: 3×WD60EFRX Raid5
TS 133: WD HC530 14TB
TS 453A: 3×WD84PURZ Raid5
TS 451+: WD40EFAX (SMR!!)
Synology 1520+: 4×WD4003FRYZ Raid5
burghy
Messaggi: 24
Iscritto il: 06 ago 2016, 18:25

Re: Qlocker 06/01/2022

Messaggio da burghy »

link ufficiale

https://www.qnap.com/en/security-news/2 ... e-together

Inviato dal mio SM-G991B utilizzando Tapatalk

radicedix
Messaggi: 32
Iscritto il: 06 apr 2011, 15:58

Re: Qlocker 06/01/2022

Messaggio da radicedix »

Anch'io sono stato attaccato giorno 14 gennaio e mi hanno criptato tutto : Frown :
Ho un TS-453A e avevo aperto all'esterno solo la porta https.
Non mi sono preoccupato più di tanto perchè ho tutto su Google Drive e su dischi offline, ma comunque un grande sbattimento...
Secondo voi pubblicando solo la porta di QVPN dovrebbe essere più sicuro?
gramax
Messaggi: 4
Iscritto il: 23 apr 2021, 18:41

Re: Qlocker 06/01/2022

Messaggio da gramax »

radicedix ha scritto: 27 gen 2022, 12:48 Secondo voi pubblicando solo la porta di QVPN dovrebbe essere più sicuro?
Che versione del firmware monti?

Racconto la mia esperienza con QNAP: all'epoca della prima infezione da qlocker, ad aprile dello scorso anno, avevo il nas collegato H24 in rete con QVPN (firmware sempre aggiornato e tutti i criteri di sicurezza adottati ecc), non sono stato infettato da qlocker ma, nei giorni iniziali dell'attacco, notai strani tentativi di collegamento nei log di QVPN, scrissi qualcosa anche qui e poi aprii un ticket con l'assistenza più che altro per metterli in guardia per una probabile falla.
Dall'assistenza ho ricevuto risposta a giugno (!), mi hanno chiesto di tenere attivato l'accesso remoto tramite l'help desk per qualche settimana (in genere è disinstallato) e dai log non ho mai capito se poi sono entrati a controllare o meno. Infine il 30 dicembre (...) ho ricevuto email di chiusura del ticket in cui scrivono testualmente:
"il seguente ticket è rimasto sotto la nostra attenzione in attesa di un riscontro del nostro HQ.
La nuova build di QVPN 3.0.760 corregge delle vulnerabilità del package OpenVPN.
Cortesemente la installi per aumentare la sicurezza della propria installazione."

Io nel frattempo da mesi ho delegato il servizio VPN ad una macchina dedicata ma il punto è che QVPN 3 lo installi solo con la versione 5 del firmware benchè la stessa QNAP abbia rilasciato una versione 4.5.4.1892 successiva all'attuale 5.

Considerando l'attuale attacco di deadbolt che colpisce anche QTS5 personalmente ho smesso di fidarmi di QNAP.
nicolam
Messaggi: 189
Iscritto il: 07 apr 2018, 18:29

Re: Qlocker 06/01/2022

Messaggio da nicolam »

burghy ha scritto: 27 gen 2022, 09:16 link ufficiale

https://www.qnap.com/en/security-news/2 ... e-together

Inviato dal mio SM-G991B utilizzando Tapatalk
Ho ricevuto oggi una email da Qnap con il medesimo contenuto.
Come ho già chiesto, io ho un router Fastgate che non consente di chiudere le.porte a rischio indicate.
Senza voler necessariamente acquistare un nuovo router, esiste un modo per ottenere lo stesso risultato? Ad esempio modificare la destinazione della porta verso un IP inesistente?
Avatar utente
PiaNi
Messaggi: 4305
Iscritto il: 25 ott 2011, 22:39
Località: Bari

Re: Qlocker 06/01/2022

Messaggio da PiaNi »

sjuemh2 ha scritto: 24 gen 2022, 00:32 Stessa mia situazione.
L'assistenza mi aveva proposto di aprire l'accesso remoto, ma ho preferito non farlo, non esporrò più questo NAS, con questo firmware, alla rete.
Per esperienza personale, il consiglio che posso dare è di non tenerlo troppo acceso facendo svariati tentativi, perchè ad ogni riscrittura sono file che diventano non recuperabili. Io mi sono fermato al 59% di file recuperati, dopo 2 tentativi di PhotoRec con opzione "Whole" disk.
Vedi il mio post del 21 gen 2022, 11:12, la prima schermata allegata.

Cambiali lì, così anche se sono aperte nel router, non "puntano" a nulla.
Gigabyte B550M Aorus Pro-P | Ryzen 5700x + Scythe Fuma 2 | nVidia RTX 3060 12GB | NVMe WDBlack 500GB + WD HC530 14TB
TS 473A: 3×WD60EFRX Raid5
TS 133: WD HC530 14TB
TS 453A: 3×WD84PURZ Raid5
TS 451+: WD40EFAX (SMR!!)
Synology 1520+: 4×WD4003FRYZ Raid5
ciso73
Messaggi: 26
Iscritto il: 12 set 2015, 14:33

Re: Qlocker 06/01/2022

Messaggio da ciso73 »

sjuemh2 ha scritto: 26 gen 2022, 11:16 Non una buona notizia per i possessori di vecchi modelli Qnap come il mio TS-112P (architettura ARMv5).
Il servizio clienti ha appena risposto come segue al ticket di supporto:
Essendo il 112P un modello con vecchia architettura software per lo storage, non è possibile recuperare i dati tramite Qrescue.

Consigliamo di rivolgersi ad agenzie specializzate per il settore del recupero dati.
L'unica possibile è quindi la procedura con PhotoRec.
È la stessa risposta data a me.
Io vorrei provare con Photorec ma sono fermo a quel maledetto:
mount error(112): Host is down
non riesco a montare il disco esterno con la cartella Share e i files per Photorec!
sjuemh2
Messaggi: 23
Iscritto il: 10 set 2014, 11:28

Re: Qlocker 06/01/2022

Messaggio da sjuemh2 »

ciso73 ha scritto: 28 gen 2022, 16:27
sjuemh2 ha scritto: 26 gen 2022, 11:16 Non una buona notizia per i possessori di vecchi modelli Qnap come il mio TS-112P (architettura ARMv5).
Il servizio clienti ha appena risposto come segue al ticket di supporto:
Essendo il 112P un modello con vecchia architettura software per lo storage, non è possibile recuperare i dati tramite Qrescue.

Consigliamo di rivolgersi ad agenzie specializzate per il settore del recupero dati.
L'unica possibile è quindi la procedura con PhotoRec.
È la stessa risposta data a me.
Io vorrei provare con Photorec ma sono fermo a quel maledetto:
mount error(112): Host is down
non riesco a montare il disco esterno con la cartella Share e i files per Photorec!
Questo errore l'ho risolto attivando SambaV1 in Windows
https://docs.microsoft.com/en-US/window ... mbv1-v2-v3
burghy
Messaggi: 24
Iscritto il: 06 ago 2016, 18:25

Re: Qlocker 06/01/2022

Messaggio da burghy »

Certo che 3 ransomware che fruttano 3 zero day in due mesi non è confortante
sjuemh2
Messaggi: 23
Iscritto il: 10 set 2014, 11:28

Re: Qlocker 06/01/2022

Messaggio da sjuemh2 »

burghy ha scritto: 28 gen 2022, 17:47 Certo che 3 ransomware che fruttano 3 zero day in due mesi non è confortante
Io ho cambiato NAS, mai più Qnap.
ciso73
Messaggi: 26
Iscritto il: 12 set 2015, 14:33

Re: Qlocker 06/01/2022

Messaggio da ciso73 »

sjuemh2 ha scritto: 28 gen 2022, 17:05
ciso73 ha scritto: 28 gen 2022, 16:27
sjuemh2 ha scritto: 26 gen 2022, 11:16 Non una buona notizia per i possessori di vecchi modelli Qnap come il mio TS-112P (architettura ARMv5).
Il servizio clienti ha appena risposto come segue al ticket di supporto:
Essendo il 112P un modello con vecchia architettura software per lo storage, non è possibile recuperare i dati tramite Qrescue.

Consigliamo di rivolgersi ad agenzie specializzate per il settore del recupero dati.
L'unica possibile è quindi la procedura con PhotoRec.
È la stessa risposta data a me.
Io vorrei provare con Photorec ma sono fermo a quel maledetto:
mount error(112): Host is down
non riesco a montare il disco esterno con la cartella Share e i files per Photorec!
Questo errore l'ho risolto attivando SambaV1 in Windows
https://docs.microsoft.com/en-US/window ... mbv1-v2-v3
Grazie mille! solo ora ho capito che SMB è Samba! Che comunque era attivato parzialmente.
Ora è iniziato il processo di recupero, dopo 20 minuti mi dice che vi vogliono 200 ore e continua a salire!
È possibile interromperlo dopo 24 ore per iniziare il recupero e poi tornare e far ripartire photorec? Ripartirà dall'inizio o da dove si era fermato?
ciso73
Messaggi: 26
Iscritto il: 12 set 2015, 14:33

Re: Qlocker 06/01/2022

Messaggio da ciso73 »

sjuemh2 ha scritto: 28 gen 2022, 18:56
burghy ha scritto: 28 gen 2022, 17:47 Certo che 3 ransomware che fruttano 3 zero day in due mesi non è confortante
Io ho cambiato NAS, mai più Qnap.
Oh, figurati, ho acquistato 3 nuovi Qnap in offerta TS-231P2 per me e altri 2 miei amici...penso che ognuno ha i suoi punti deboli...
Ora farò più attenzione con i backup, impostazioni e altre cosette oltre a imparare ad utilizzare i software di recupero...
Altrimenti tutti sul cloud ai loro costi!
maxanet
Messaggi: 94
Iscritto il: 30 dic 2009, 09:58

Re: Qlocker 06/01/2022

Messaggio da maxanet »

Ma come mai questi problemi non ci sono con le Synology o con le Asustor ?
E' solo un "periodo" ?
For Data = Synology 918+
For Multimedia = TS 439 Pro
For Downloads = TS 239 Pro II+
For Backup = Asustor 604T
burghy
Messaggi: 24
Iscritto il: 06 ago 2016, 18:25

Re: Qlocker 06/01/2022

Messaggio da burghy »

Anche synology ha i suoi problemi. Syno usa un approccio diverso. Ti fa togliere l'admin in fase di installazione, il blocco ip dopo tot tentativi è abilitato di default. Ti continua a bombardare ad ogni login i suggerimenti di cambiare la porta.
Avatar utente
PiaNi
Messaggi: 4305
Iscritto il: 25 ott 2011, 22:39
Località: Bari

Re: Qlocker 06/01/2022

Messaggio da PiaNi »

Gigabyte B550M Aorus Pro-P | Ryzen 5700x + Scythe Fuma 2 | nVidia RTX 3060 12GB | NVMe WDBlack 500GB + WD HC530 14TB
TS 473A: 3×WD60EFRX Raid5
TS 133: WD HC530 14TB
TS 453A: 3×WD84PURZ Raid5
TS 451+: WD40EFAX (SMR!!)
Synology 1520+: 4×WD4003FRYZ Raid5
burghy
Messaggi: 24
Iscritto il: 06 ago 2016, 18:25

Re: Qlocker 06/01/2022

Messaggio da burghy »

nell'articolo di hwupgrade letto molti avrebbe è potrebbe..
ma hanno trovato il bug con cui sono entrati o no?

Inviato dal mio SM-G991B utilizzando Tapatalk

Avatar utente
PiaNi
Messaggi: 4305
Iscritto il: 25 ott 2011, 22:39
Località: Bari

Re: Qlocker 06/01/2022

Messaggio da PiaNi »

Il bug si, ma quell'utente citato nella notizia che appartiene al forum ufficiale, che è stato colpito nonostante il firmware aggiornato, non ha dichiarato di aver attuato tutte le altre procedure per la sicurezza, anzi aveva la webUI esposta su internet.
Gigabyte B550M Aorus Pro-P | Ryzen 5700x + Scythe Fuma 2 | nVidia RTX 3060 12GB | NVMe WDBlack 500GB + WD HC530 14TB
TS 473A: 3×WD60EFRX Raid5
TS 133: WD HC530 14TB
TS 453A: 3×WD84PURZ Raid5
TS 451+: WD40EFAX (SMR!!)
Synology 1520+: 4×WD4003FRYZ Raid5
Rispondi