Risposta agli attacchi ransomware qlocker!!

[flavio.miano]

se avete i file crittografati con qlocker e
avete recuperato i dati con PhotoRec
per rispristinare i nomi dei file nelle cartelle di origine
usate questa piccola utility scritta in c# .net 5.0
www.flaviosoft.com/filerestore.zip
scaricate il .net framework 5.0
ps. il file di log si trova nella cartella documenti.
spero vi possa servire.
saluti

[Frumens]

Ciao ragazzi. Cavolo che problemone... Uff... Cmq nn ho capito se tutt'ora con gli aggiornamenti firmware e delle app incriminate siamo al sicuro oppure quali impostazioni dobbiamo usare per essere al sicuro

[luciano]

usate questa piccola utility scritta in c# .net 5.0
www.flaviosoft.com/filerestore.zip

Ciao Flavio, ci puoi dire di più su questa utility? L'hai scritta tu? Sai, aprire un binario cosi ad occhi chiusi oggi come oggi non è mai una buona idea...
Grazie.

[valevale]

successo ieri (ma l'attacco è avvenuto il 23 aprile), criptati tutti i file di una cartella. formattato il nas, perchè non pago neanche se schiattano. ora la domanda è, si suggerisce di cambiare le porte (non usare 8080,8081,22,443,80) ma allora quali usare? cioè se io volessi cambiare la posta di sistema 8080 quale dovrei usare? dove posso trovare porte disponibili?

[luciano]

ma allora quali usare? cioè se io volessi cambiare la posta di sistema 8080 quale dovrei usare? dove posso trovare porte disponibili?

valevale, il numero della porta lo puoi decidere tu, basta che non ce se siano due uguali che puntano a due diversi servizi, di norma se peschi un numero qualsiasi da 9000 a 9999 dovresti essere a posto.

[Frumens]

Scusate, ma non si potrebbe mettere qua i punti cardini dei settaggi da fare per avere il nostro NAS sicuro? Sarebbe utile per molti e poco dispersivo

[selvaggi]

Leggi qui https://www.dropbox.com/s/bu45b6ywapabs ... s.pdf?dl=0

c'è anche la discussione qui viewtopic.php?f=60&t=17596

[Frumens]

Leggi qui https://www.dropbox.com/s/bu45b6ywapabs ... s.pdf?dl=0

c'è anche la discussione qui viewtopic.php?f=60&t=17596

Grazie!!!

[valevale]

ma allora quali usare? cioè se io volessi cambiare la posta di sistema 8080 quale dovrei usare? dove posso trovare porte disponibili?

valevale, il numero della porta lo puoi decidere tu, basta che non ce se siano due uguali che puntano a due diversi servizi, di norma se peschi un numero qualsiasi da 9000 a 9999 dovresti essere a posto.

ci provo. grazie mille!

[luciano]

Breve riassunto (triste) su QLocker.

[PiaNi]

Lo scrivo qui.
Aggiornamento di sicurezza per HBS3.

( 2021/05/14 )
[Applicable Models]
- End-of-life NAS models running QTS 4.3.3 and QTS 4.3.4.

[Important Notes]
- This is a security update for end-of-life NAS models running QTS 4.3.3 and QTS 4.3.4.

[Enhancements]
- Improved code security.

[contenitore21]

ts 212, non mi da nessun aggiornamento su hbs. forse hbs3 non è disponibile su ts212? io ho la versione 2.1.190909

[luciano]

contenitore21, il tuo NAS supporta il fw 4.3.3 e quindi HBS3 dovrebbe poter essere installabile, anche se leggendo le ultime release notes della HBS3 questo è l'ultimo aggiornamento che riceverà:

Codice: Seleziona tutto

HBS 3 Hybrid Backup Sync 3.0.210506 for QTS 4.3.3 and QTS 4.3.4
( 2021/05/14 )
[Applicable Models]
- End-of-life NAS models running QTS 4.3.3 and QTS 4.3.4.
 
[Important Notes]
- This is a security update for end-of-life NAS models running QTS 4.3.3 and QTS 4.3.4.
 
[Enhancements]
- Improved code security.

[Sunnylady]

Ciao a tutti e grazie per avermi accolto nel gruppo.
Ahimè faccio parte della schiera di utenti colpita ad Aprile dal malware qlocker ed ho trovato una serie di files (per lo più immagini) crittate.
In più ho innavvertitamente fatto aggiornamento al software nas (ho un 231P) con riavvio annesso e da quello che ho letto un po' in giro non è una buona cosa. Da profana, chi potrebbe ora consigliarmi come muovermi? Ho copiato tutto il contenuto su un'unità esterna (e da lì lancerei uno scanning con "non saprei quale software") e penserei di formattare completamente il NAS, che dite è la strada giusta? A questo proposito cerco anche la guida completa su come far ripartire poi il NAS, in un secondo tempo rimetterei dentro i files puliti e decrittati (sogno ad occhi aperti??)
Grazie a chiunque mi darà un gradito feedback forte della sua esperienza :-))

[maveri]

salve a tutti, anch'io ho un nas qnap TS251A che in Aprile 2021 ha subito l'attacco; purtroppo la prima cosa che ho fatto, avendo altro a cui pensare, è stata quella di spegnerlo. Leggendo poi in rete mi sono reso conto che sarebbe stato meglio non farlo e cercare di recuperare la chiave mentre il processo di criptazione era ancora in corso, che era il mio caso.
Sinora non l'ho più riavviato in quanto non mi interessava; questa settimana ho sfilato il disco per leggerlo da pc, con scarso successo, nel senso che le cartelle dati non sono riuscito a vederle in esplora risorse ma mi è stato sufficiente aprire la cartella di sistema per leggere il famigerato file txt contenente la richiesta di riscatto.

ora la mia domanda, forse banale è la seguente:
se riavvio il nas, ammesso che si riavvi, ho tutto il tempo per fare le mie prove oppure il processo di criptazione riparte subito all'avvio e continua a fare danni?

e ancora, mi conviene tentare la strada Qrescue che qnap ha proposto a suo tempo? oppure affidarmi a un ticket collegandomi in assistenza remota dando loro l'accesso tramite l'helpdesk?

[fabrizio.deva]

Per il beneficio di tutti, vorrei condividere quanto "non" succede in QNAP...

Possiedo, tra le altre, anche due macchine QNAP (un TS-853A e un TS-851, entrambi con 16GB di RAM per uno spazio totale di circa 60TB).
In una delle due (sempre aggiornate), sono riusciti ad entrare senza (fortunatamente) far girare il malaware...

TESTI INTEGRALI:
------------------------------------------
Mio Ticket:
------------------------------------------
Buongiorno, in uno dei miei due nas, al percorso "/share/MD0_DATA" è apparso un file con nome "!!!READ_ME.txt" del 2022-01-10 09:50 e con questo testo: All your files were encrypted using a private and unique key generated for the computer. This key is stored in our server and the only way to receive your key and decrypt your files is making a Bitcoin payment. To purchase your key and decrypt your files, please follow these steps: 1. Dowload the Tor Browser at "https://www.torproject.org/". If you need help, please Google for "access onion page". 2. Visit the following pages with the Tor Browser: ... Al momento tutti i file sono accessibili. che cosa devo fare per effettuare le verifiche del caso ?


------------------------------------------
Ripsosta di QNAP:
------------------------------------------
Gentile cliente,

grazie per aver contattato il supporto tecnico QNAP.

Come primo step non esporre il NAS ad internet tramite forward delle porte di rete.

Successivamente verificare con attenzione che nessun file sia stato criptato.
Nel caso ne dovesse aver individuato qualcuno, ci faccia sapere qual'è la sua estensione.

Se non viene rilevato nessun file criptato, si consiglia di eseguire una copia completa di backup dei dati su di un device esterno al NAS
e successivamente procedere con la re-inizializzazione del sistema, così da eliminare qualsiasi possibile traccia lasciata dal malware.

Se le dovesse servire, di seguito la procedura da seguire:
N.B. la procedura indicata andrà a resettare tutte le impostazioni di sistema, i dati e le applicazioni presenti nei dischi.

- Effettuare backup dei dati in un dispositivo di memoria esterno (disco USB, PC, ecc.)
- Spegnere il NAS
- Avviarlo senza dischi inseriti
- Attendere 5 minuti per il completamento del boot
- Inserire i dischi a caldo
- Connettersi all'IP acquisito dal NAS con un browser
- Scegliere "Inizializzare il sistema"
- Seguire il wizard per completare l'installazione
- A sistema inizializzato, eseguire il ripristino dei dati nella loro posizione originale


Le lascio inoltre una guida QNAP per aumentare la sicurezza del proprio NAS quando viene esposto su internet:
https://www.qnap.com/it-it/how-to/faq/a ... za-del-nas

Faccia riferimento al seguente link per consigli sulla sicurezza del proprio NAS:
https://www.qnap.com/en/security-advisories

Consigliamo inoltre di iscriversi alla newsletter QNAP sulla sicurezza, continuamente aggiornata:
https://www.qnap.com/solution/topics-of-interest/it-it/


Un saluto.

------------------------------------------

@@@
Rispondere

Regards
Firma rimossa per rispestto della GDPR
QNAP Systems, Inc.
--
Website: http://www.qnap.com
Forum: http://forum.qnap.com
Wiki: http://wiki.qnap.com
Clausola esonerativa:
Advice and services provided by QNAP
------------------------------------------

Ora va bene tutto... ma almeno sapere quali sono i processi prima di dover pensare di dover reinstallare tutto...mi sembrerebbe proprio il minimo.
Buona giornata