Risposta agli attacchi ransomware qlocker!!

Annunci provenienti dagli amministratori del forum o tradotti in italiano dal forum ufficiale QNAP
Avatar utente
luciano
Amministratore
Messaggi: 8710
Iscritto il: 25 apr 2008, 01:45
Località: Roma
Contatta:

Risposta agli attacchi ransomware qlocker!!

Messaggio da luciano »

Per qualsiasi dubbio usiamo pure questo thread, ulteriori dettagli a questo link.

Se siete stati attaccati, la soluzione (se e solo se il ransomware è ancora in fase di criptazione e NON avete riavviato il NAS) è qui.
Viper
Messaggi: 13
Iscritto il: 28 giu 2016, 14:06

Re: Risposta agli attacchi ransomware qlocker!!

Messaggio da Viper »

Ciao,
vista questa nuova pessima notizia volevo chiedere per un paio di dubbi che mi girano nella testa ogni volta che sento parlare di questi simpatici hacker...

Utilizzando spazi di archiviazione con volumi crittografati e creando all'interno di essi cartelle condivise a loro volta protette da password, per accedervi occorre sbloccare manualmente prima il volume e poi la cartella.
Se si imposta il volume per sbloccarsi all'avvio, la cartella deve essere comunque sbloccata manualmente.

Se il volume resta bloccato, non si vede nemmeno la cartella quindi credo che non ci possa essere un attacco alla stessa.

Ora mi chiedevo, una cartella crittografata, quando è bloccata (ma il volume è sbloccato), può essere attaccata da un ransomware?
Cioè, una cartella crittografata bloccata è visibile da sistema nel volume ma non dovrebbe essere comunque accessibile con permessi di lettura/scrittura e quindi non crittografabile, è corretto?
Chiedo scusa anticipatamente se è una domanda un po' stupida.

In seconda battuta, esiste una guida a QFirewall un po' più user-friendly di quella del sito Qnap? Non son sicuro di usarlo correttamente o comprendere bene i suoi messaggi.

Grazie a tutti.
Ciao.
Avatar utente
Batman
Messaggi: 138
Iscritto il: 24 ott 2016, 11:16

Re: Risposta agli attacchi ransomware qlocker!!

Messaggio da Batman »

Anche qui https://www.dday.it/redazione/39277/un- ... n-password viene riportata la notizia dell'attacco. Leggendo i commenti sotto l'articolo non sono pochi quelli che sono stati colpiti.

Premetto che non avendo abilitato l'accesso dall'esterno il NAS risulta pulito e per quei pochi dati in mobilità che mi servono uso il cloud, ma da ignorante in materia ho una domanda:
Con un uso regolare gli snapshot è possibile recuperare (anche in parte) i file zippati?
TS-253A 16GbRam + WD Red da 4Tb
RockyDG
Messaggi: 1
Iscritto il: 24 apr 2021, 20:03

Re: Risposta agli attacchi ransomware qlocker!!

Messaggio da RockyDG »

Colpito... (TS251)
Vi risulta un modo per recuperare i files?

Grazie a chi avrà pietà di rispondere
Avatar utente
luciano
Amministratore
Messaggi: 8710
Iscritto il: 25 apr 2008, 01:45
Località: Roma
Contatta:

Re: Risposta agli attacchi ransomware qlocker!!

Messaggio da luciano »

RockyDG, contatto il supporto QNAP aprendo un ticket, da quando si sa finora le condizioni per recuperare i dati sono almeno due: il ransomware deve essere ancora nella fase di criptazione dei file/directory e il NAS NON deve essere stato riavviato. Ma ripeto chi è stato affetto contatti subito QNAP.
Avatar utente
lucam1970
Messaggi: 710
Iscritto il: 28 gen 2012, 01:02

Re: Risposta agli attacchi ransomware qlocker!!

Messaggio da lucam1970 »

Per chi è sotto attacco Qlocker segnalo una guida per tentare il recupero dei files che è stata pubblicata sul forum di Bleeping Computer
https://www.bleepingcomputer.com/forums ... try5171398
C'è anche una versione video su youtube. Di seguito il link:
https://www.youtube.com/watch?v=qv9mri_ ... hannel=TFI

Ci vuole un minimo di dimestichezza con l'inglese ma tra forum e youtube dovrebbe essere fattibile
- NAS: QNAP TS-653D 16GB (24TB/RAID5 - QTS 5.2.0.2860)
- Backup Unit: QNAP TS-653A 8GB (16TB/RAID5 - QTS 5.2.0.2860)
- UPS: APC Back-UPS BX700
- Client: Macbook Pro (2020) ; Macbook Pro (2016); Macbook Air M1
- Home Cinema: TV Samsung 55C8000 - Apple TV 4th - Samsung BD-C5900 - SkyQ - Denon 1911 - Indiana Line Tesi
Avatar utente
luciano
Amministratore
Messaggi: 8710
Iscritto il: 25 apr 2008, 01:45
Località: Roma
Contatta:

Re: Risposta agli attacchi ransomware qlocker!!

Messaggio da luciano »

lucam1970 ha scritto: 25 apr 2021, 19:46 Per chi è sotto attacco Qlocker segnalo una guida per tentare il recupero dei files [...]
Luca, grazie della segnalazione, però per chi non ha dimistichezza con Linux e il terminale suggerisco caldamente di aprire un ticket a QNAP, per evitare di perdere casomai l'unica chance. Mi hanno confermato che in molti scenari (dipende tutto dal fatto che QLocker sia ancora in fase di criptazione e il NAS non sia stato riavviato) è possibile per il supporto tecnico ufficiale recuperare i dati.
benny
Messaggi: 174
Iscritto il: 11 gen 2010, 12:58

Re: Risposta agli attacchi ransomware qlocker!!

Messaggio da benny »

Si sa come avviene l'attacco? Intendo se entra da qualche specifico servizio o deve essere esposta su internet l'interfaccia di gestione del NAS.
[TS-253A 16GB]
Avatar utente
PiaNi
Messaggi: 4192
Iscritto il: 25 ott 2011, 22:39
Località: Bari

Re: Risposta agli attacchi ransomware qlocker!!

Messaggio da PiaNi »

Batman ha scritto: 24 apr 2021, 09:00 Con un uso regolare gli snapshot è possibile recuperare (anche in parte) i file zippati?
Su linkedin, un utente commentava ad un post di Alvise Sinigaglia, dicendo che gli erano state cancellate le snapshot, oltre al criptaggio dei file e delle cartelle.
Sicuramente, gli hacker, sono entrati come admin.
Gigabyte B550M Aorus Pro-P | Ryzen 5700x + Scythe Fuma 2 | nVidia RTX 3060 12GB | NVMe WDBlack 500GB + WD120EFAX
TS 473A: 3×WD60EFRX Raid5
TS 133: SGT EXOS 16TB
TS 453A: 3×WD84PURZ Raid5
TS 251+: WD40EFAX (SMR!!)
Synology 1520+: 4×WD4003FRYZ Raid5
B747
Messaggi: 177
Iscritto il: 07 feb 2011, 10:24

Re: Risposta agli attacchi ransomware qlocker!!

Messaggio da B747 »

PiaNi ha scritto: 29 apr 2021, 17:15 Sicuramente, gli hacker, sono entrati come admin.
però io avevo l'utente admin disabilitato (ne avevo creato un'altro)... non si spiega
Avatar utente
PiaNi
Messaggi: 4192
Iscritto il: 25 ott 2011, 22:39
Località: Bari

Re: Risposta agli attacchi ransomware qlocker!!

Messaggio da PiaNi »

Loro entrano attraverso le vulnerabilità delle app, e probabilmente bypassano qualsiasi login.
Gigabyte B550M Aorus Pro-P | Ryzen 5700x + Scythe Fuma 2 | nVidia RTX 3060 12GB | NVMe WDBlack 500GB + WD120EFAX
TS 473A: 3×WD60EFRX Raid5
TS 133: SGT EXOS 16TB
TS 453A: 3×WD84PURZ Raid5
TS 251+: WD40EFAX (SMR!!)
Synology 1520+: 4×WD4003FRYZ Raid5
B747
Messaggi: 177
Iscritto il: 07 feb 2011, 10:24

Re: Risposta agli attacchi ransomware qlocker!!

Messaggio da B747 »

PiaNi ha scritto: 29 apr 2021, 17:41 Loro entrano attraverso le vulnerabilità delle app, e probabilmente bypassano qualsiasi login.
capito, grazie. Quindi di fatto disabilitare quell'utente serve a poco :-( mi sa che l'unica è non esporlo su internet. A proposito, io adesso ho disabilitato il qnapCloud, sul router la regola di natting l'avevo disabilitata molto tempo fa quando avevo attivato il loro servizio di cloud, eppure, nonostante ciò, trovo nel log del firewall diversi tentativi di accesso da IP di rete pubblica (che vengono bloccati). Ma se il nas non è nattato, come è possibile arrivarci da fuori? E' un problema del router? Considera che nel router ho anche disabilitato l'apertura porte automatica UPNP... non capisco
Avatar utente
PiaNi
Messaggi: 4192
Iscritto il: 25 ott 2011, 22:39
Località: Bari

Re: Risposta agli attacchi ransomware qlocker!!

Messaggio da PiaNi »

B747 ha scritto: 29 apr 2021, 18:13
PiaNi ha scritto: 29 apr 2021, 17:41 Loro entrano attraverso le vulnerabilità delle app, e probabilmente bypassano qualsiasi login.
capito, grazie. Quindi di fatto disabilitare quell'utente serve a poco :-( mi sa che l'unica è non esporlo su internet. A proposito, io adesso ho disabilitato il qnapCloud, sul router la regola di natting l'avevo disabilitata molto tempo fa quando avevo attivato il loro servizio di cloud, eppure, nonostante ciò, trovo nel log del firewall diversi tentativi di accesso da IP di rete pubblica (che vengono bloccati). Ma se il nas non è nattato, come è possibile arrivarci da fuori? E' un problema del router? Considera che nel router ho anche disabilitato l'apertura porte automatica UPNP... non capisco
La mia era un'ipotesi.
Oltre agli tentativi nel log del firewall, trovi qualcosa ner registro Log di accesso al sistema di QuLog?
Gigabyte B550M Aorus Pro-P | Ryzen 5700x + Scythe Fuma 2 | nVidia RTX 3060 12GB | NVMe WDBlack 500GB + WD120EFAX
TS 473A: 3×WD60EFRX Raid5
TS 133: SGT EXOS 16TB
TS 453A: 3×WD84PURZ Raid5
TS 251+: WD40EFAX (SMR!!)
Synology 1520+: 4×WD4003FRYZ Raid5
B747
Messaggi: 177
Iscritto il: 07 feb 2011, 10:24

Re: Risposta agli attacchi ransomware qlocker!!

Messaggio da B747 »

No, ma stranamente è completamente vuoto, quindi deve esserci qualcosa che non va ma non sono ancora riuscito a capire cosa...
contenitore21
Messaggi: 494
Iscritto il: 14 lug 2013, 15:58

Re: Risposta agli attacchi ransomware qlocker!!

Messaggio da contenitore21 »

B747 ha scritto: 29 apr 2021, 18:13 .....
capito, grazie. Quindi di fatto disabilitare quell'utente serve a poco :-( mi sa che l'unica è non esporlo su internet. A proposito, io adesso ho disabilitato il qnapCloud, sul router la regola di natting l'avevo disabilitata molto tempo fa quando avevo attivato il loro servizio di cloud, eppure, nonostante ciò, trovo nel log del firewall diversi tentativi di accesso da IP di rete pubblica (che vengono bloccati). Ma se il nas non è nattato, come è possibile arrivarci da fuori? E' un problema del router? Considera che nel router ho anche disabilitato l'apertura porte automatica UPNP... non capisco
non so se c'entra qualcosa: io ricevevo numerosi attacchi bloccati da login fail su admin avendo disattivato tale user; Poi ho attivato la connessione https e da allora sul log non trovo piu nessun attacco.
Avatar utente
PiaNi
Messaggi: 4192
Iscritto il: 25 ott 2011, 22:39
Località: Bari

Re: Risposta agli attacchi ransomware qlocker!!

Messaggio da PiaNi »

B747 ha scritto: 29 apr 2021, 18:48 No, ma stranamente è completamente vuoto, quindi deve esserci qualcosa che non va ma non sono ancora riuscito a capire cosa...
Probabilmente perchè il firewall interviene prima del log delle connessioni.
Gigabyte B550M Aorus Pro-P | Ryzen 5700x + Scythe Fuma 2 | nVidia RTX 3060 12GB | NVMe WDBlack 500GB + WD120EFAX
TS 473A: 3×WD60EFRX Raid5
TS 133: SGT EXOS 16TB
TS 453A: 3×WD84PURZ Raid5
TS 251+: WD40EFAX (SMR!!)
Synology 1520+: 4×WD4003FRYZ Raid5
B747
Messaggi: 177
Iscritto il: 07 feb 2011, 10:24

Re: Risposta agli attacchi ransomware qlocker!!

Messaggio da B747 »

Si è possibile
Avatar utente
lucam1970
Messaggi: 710
Iscritto il: 28 gen 2012, 01:02

Re: Risposta agli attacchi ransomware qlocker!!

Messaggio da lucam1970 »

Non voglio generare allarmismi ma pare ci sia in giro un nuovo ransomware denominato AgeLocker che colpisce i NAS della Qnap.
La notizia mi è arrivata in un bullettin di oggi della Qnap stessa.
Qui il link alla relativa pagina web https://www.qnap.com/it-it/security-advisory/qsa-21-15

Gli approfondimenti di Qnap sono tuttora in corso .... : Eeek :
- NAS: QNAP TS-653D 16GB (24TB/RAID5 - QTS 5.2.0.2860)
- Backup Unit: QNAP TS-653A 8GB (16TB/RAID5 - QTS 5.2.0.2860)
- UPS: APC Back-UPS BX700
- Client: Macbook Pro (2020) ; Macbook Pro (2016); Macbook Air M1
- Home Cinema: TV Samsung 55C8000 - Apple TV 4th - Samsung BD-C5900 - SkyQ - Denon 1911 - Indiana Line Tesi
Avatar utente
luciano
Amministratore
Messaggi: 8710
Iscritto il: 25 apr 2008, 01:45
Località: Roma
Contatta:

Re: Risposta agli attacchi ransomware qlocker!!

Messaggio da luciano »

PiaNi ha scritto: 29 apr 2021, 17:15
Batman ha scritto: 24 apr 2021, 09:00 Con un uso regolare gli snapshot è possibile recuperare (anche in parte) i file zippati?
Su linkedin, un utente commentava ad un post di Alvise Sinigaglia, dicendo che gli erano state cancellate le snapshot, oltre al criptaggio dei file e delle cartelle.
Sicuramente, gli hacker, sono entrati come admin.
Confermo che l'uso delle snapshot (se salvate localmente sul NAS) non sono d'aiuto con QLocker perchè queste vengono cancellate dal ransomware. Io uso lo snapshot replica verso un vecchio NAS che uso solo per quello. Lo faccio accendere un paio di volte a settimana e dal NAS principale ho creato un job che scarica le snapshot del nuovo sullo snapshot vault del vecchio NAS e poi si spegne.
Guero
Messaggi: 1
Iscritto il: 04 mag 2021, 21:38

Re: Risposta agli attacchi ransomware qlocker!!

Messaggio da Guero »

Personalmente sono senza parole sono stato colpito ho inviato ticket a qnap ma ancora nessuna risposta al momento sono bloccato!!!
Rispondi