Risposta agli attacchi ransomware qlocker!!

[luciano]

Per qualsiasi dubbio usiamo pure questo thread, ulteriori dettagli a questo link.

Se siete stati attaccati, la soluzione (se e solo se il ransomware è ancora in fase di criptazione e NON avete riavviato il NAS) è qui.

[Viper]

Ciao,
vista questa nuova pessima notizia volevo chiedere per un paio di dubbi che mi girano nella testa ogni volta che sento parlare di questi simpatici hacker...

Utilizzando spazi di archiviazione con volumi crittografati e creando all'interno di essi cartelle condivise a loro volta protette da password, per accedervi occorre sbloccare manualmente prima il volume e poi la cartella.
Se si imposta il volume per sbloccarsi all'avvio, la cartella deve essere comunque sbloccata manualmente.

Se il volume resta bloccato, non si vede nemmeno la cartella quindi credo che non ci possa essere un attacco alla stessa.

Ora mi chiedevo, una cartella crittografata, quando è bloccata (ma il volume è sbloccato), può essere attaccata da un ransomware?
Cioè, una cartella crittografata bloccata è visibile da sistema nel volume ma non dovrebbe essere comunque accessibile con permessi di lettura/scrittura e quindi non crittografabile, è corretto?
Chiedo scusa anticipatamente se è una domanda un po' stupida.

In seconda battuta, esiste una guida a QFirewall un po' più user-friendly di quella del sito Qnap? Non son sicuro di usarlo correttamente o comprendere bene i suoi messaggi.

Grazie a tutti.
Ciao.

[Batman]

Anche qui https://www.dday.it/redazione/39277/un- ... n-password viene riportata la notizia dell'attacco. Leggendo i commenti sotto l'articolo non sono pochi quelli che sono stati colpiti.

Premetto che non avendo abilitato l'accesso dall'esterno il NAS risulta pulito e per quei pochi dati in mobilità che mi servono uso il cloud, ma da ignorante in materia ho una domanda:
Con un uso regolare gli snapshot è possibile recuperare (anche in parte) i file zippati?

[RockyDG]

Colpito... (TS251)
Vi risulta un modo per recuperare i files?

Grazie a chi avrà pietà di rispondere

[luciano]

RockyDG, contatto il supporto QNAP aprendo un ticket, da quando si sa finora le condizioni per recuperare i dati sono almeno due: il ransomware deve essere ancora nella fase di criptazione dei file/directory e il NAS NON deve essere stato riavviato. Ma ripeto chi è stato affetto contatti subito QNAP.

[lucam1970]

Per chi è sotto attacco Qlocker segnalo una guida per tentare il recupero dei files che è stata pubblicata sul forum di Bleeping Computer
https://www.bleepingcomputer.com/forums ... try5171398
C'è anche una versione video su youtube. Di seguito il link:
https://www.youtube.com/watch?v=qv9mri_ ... hannel=TFI

Ci vuole un minimo di dimestichezza con l'inglese ma tra forum e youtube dovrebbe essere fattibile

[luciano]

Per chi è sotto attacco Qlocker segnalo una guida per tentare il recupero dei files [...]

Luca, grazie della segnalazione, però per chi non ha dimistichezza con Linux e il terminale suggerisco caldamente di aprire un ticket a QNAP, per evitare di perdere casomai l'unica chance. Mi hanno confermato che in molti scenari (dipende tutto dal fatto che QLocker sia ancora in fase di criptazione e il NAS non sia stato riavviato) è possibile per il supporto tecnico ufficiale recuperare i dati.

[benny]

Si sa come avviene l'attacco? Intendo se entra da qualche specifico servizio o deve essere esposta su internet l'interfaccia di gestione del NAS.

[PiaNi]

Con un uso regolare gli snapshot è possibile recuperare (anche in parte) i file zippati?

Su linkedin, un utente commentava ad un post di Alvise Sinigaglia, dicendo che gli erano state cancellate le snapshot, oltre al criptaggio dei file e delle cartelle.
Sicuramente, gli hacker, sono entrati come admin.

[B747]

Sicuramente, gli hacker, sono entrati come admin.

però io avevo l'utente admin disabilitato (ne avevo creato un'altro)... non si spiega

[PiaNi]

Loro entrano attraverso le vulnerabilità delle app, e probabilmente bypassano qualsiasi login.

[B747]

Loro entrano attraverso le vulnerabilità delle app, e probabilmente bypassano qualsiasi login.

capito, grazie. Quindi di fatto disabilitare quell'utente serve a poco :-( mi sa che l'unica è non esporlo su internet. A proposito, io adesso ho disabilitato il qnapCloud, sul router la regola di natting l'avevo disabilitata molto tempo fa quando avevo attivato il loro servizio di cloud, eppure, nonostante ciò, trovo nel log del firewall diversi tentativi di accesso da IP di rete pubblica (che vengono bloccati). Ma se il nas non è nattato, come è possibile arrivarci da fuori? E' un problema del router? Considera che nel router ho anche disabilitato l'apertura porte automatica UPNP... non capisco

[PiaNi]

Loro entrano attraverso le vulnerabilità delle app, e probabilmente bypassano qualsiasi login.

capito, grazie. Quindi di fatto disabilitare quell'utente serve a poco :-( mi sa che l'unica è non esporlo su internet. A proposito, io adesso ho disabilitato il qnapCloud, sul router la regola di natting l'avevo disabilitata molto tempo fa quando avevo attivato il loro servizio di cloud, eppure, nonostante ciò, trovo nel log del firewall diversi tentativi di accesso da IP di rete pubblica (che vengono bloccati). Ma se il nas non è nattato, come è possibile arrivarci da fuori? E' un problema del router? Considera che nel router ho anche disabilitato l'apertura porte automatica UPNP... non capisco

La mia era un'ipotesi.
Oltre agli tentativi nel log del firewall, trovi qualcosa ner registro Log di accesso al sistema di QuLog?

[B747]

No, ma stranamente è completamente vuoto, quindi deve esserci qualcosa che non va ma non sono ancora riuscito a capire cosa...

[contenitore21]

.....
capito, grazie. Quindi di fatto disabilitare quell'utente serve a poco :-( mi sa che l'unica è non esporlo su internet. A proposito, io adesso ho disabilitato il qnapCloud, sul router la regola di natting l'avevo disabilitata molto tempo fa quando avevo attivato il loro servizio di cloud, eppure, nonostante ciò, trovo nel log del firewall diversi tentativi di accesso da IP di rete pubblica (che vengono bloccati). Ma se il nas non è nattato, come è possibile arrivarci da fuori? E' un problema del router? Considera che nel router ho anche disabilitato l'apertura porte automatica UPNP... non capisco

non so se c'entra qualcosa: io ricevevo numerosi attacchi bloccati da login fail su admin avendo disattivato tale user; Poi ho attivato la connessione https e da allora sul log non trovo piu nessun attacco.

[PiaNi]

No, ma stranamente è completamente vuoto, quindi deve esserci qualcosa che non va ma non sono ancora riuscito a capire cosa...

Probabilmente perchè il firewall interviene prima del log delle connessioni.

[B747]

Si è possibile

[lucam1970]

Non voglio generare allarmismi ma pare ci sia in giro un nuovo ransomware denominato AgeLocker che colpisce i NAS della Qnap.
La notizia mi è arrivata in un bullettin di oggi della Qnap stessa.
Qui il link alla relativa pagina web https://www.qnap.com/it-it/security-advisory/qsa-21-15

Gli approfondimenti di Qnap sono tuttora in corso ....

[luciano]

Con un uso regolare gli snapshot è possibile recuperare (anche in parte) i file zippati?

Su linkedin, un utente commentava ad un post di Alvise Sinigaglia, dicendo che gli erano state cancellate le snapshot, oltre al criptaggio dei file e delle cartelle.
Sicuramente, gli hacker, sono entrati come admin.

Confermo che l'uso delle snapshot (se salvate localmente sul NAS) non sono d'aiuto con QLocker perchè queste vengono cancellate dal ransomware. Io uso lo snapshot replica verso un vecchio NAS che uso solo per quello. Lo faccio accendere un paio di volte a settimana e dal NAS principale ho creato un job che scarica le snapshot del nuovo sullo snapshot vault del vecchio NAS e poi si spegne.

[Guero]

Personalmente sono senza parole sono stato colpito ho inviato ticket a qnap ma ancora nessuna risposta al momento sono bloccato!!!