Risposta agli attacchi ransomware qlocker!!

Annunci provenienti dagli amministratori del forum o tradotti in italiano dal forum ufficiale QNAP
flavio.miano
Messaggi: 1
Iscritto il: 05 mag 2021, 21:54

Re: Risposta agli attacchi ransomware qlocker!!

Messaggio da flavio.miano »

se avete i file crittografati con qlocker e
avete recuperato i dati con PhotoRec
per rispristinare i nomi dei file nelle cartelle di origine
usate questa piccola utility scritta in c# .net 5.0
www.flaviosoft.com/filerestore.zip
scaricate il .net framework 5.0
ps. il file di log si trova nella cartella documenti.
spero vi possa servire.
saluti
Frumens
Messaggi: 12
Iscritto il: 05 mag 2021, 19:20

Re: Risposta agli attacchi ransomware qlocker!!

Messaggio da Frumens »

Ciao ragazzi. Cavolo che problemone... Uff... Cmq nn ho capito se tutt'ora con gli aggiornamenti firmware e delle app incriminate siamo al sicuro oppure quali impostazioni dobbiamo usare per essere al sicuro
Avatar utente
luciano
Amministratore
Messaggi: 8707
Iscritto il: 25 apr 2008, 01:45
Località: Roma
Contatta:

Re: Risposta agli attacchi ransomware qlocker!!

Messaggio da luciano »

flavio.miano ha scritto: 05 mag 2021, 21:58 usate questa piccola utility scritta in c# .net 5.0
www.flaviosoft.com/filerestore.zip
Ciao Flavio, ci puoi dire di più su questa utility? L'hai scritta tu? Sai, aprire un binario cosi ad occhi chiusi oggi come oggi non è mai una buona idea...
Grazie.
valevale
Messaggi: 4
Iscritto il: 06 mag 2021, 11:24

Re: Risposta agli attacchi ransomware qlocker!!

Messaggio da valevale »

successo ieri (ma l'attacco è avvenuto il 23 aprile), criptati tutti i file di una cartella. formattato il nas, perchè non pago neanche se schiattano. ora la domanda è, si suggerisce di cambiare le porte (non usare 8080,8081,22,443,80) ma allora quali usare? cioè se io volessi cambiare la posta di sistema 8080 quale dovrei usare? dove posso trovare porte disponibili?
Avatar utente
luciano
Amministratore
Messaggi: 8707
Iscritto il: 25 apr 2008, 01:45
Località: Roma
Contatta:

Re: Risposta agli attacchi ransomware qlocker!!

Messaggio da luciano »

valevale ha scritto: 06 mag 2021, 11:36 ma allora quali usare? cioè se io volessi cambiare la posta di sistema 8080 quale dovrei usare? dove posso trovare porte disponibili?
valevale, il numero della porta lo puoi decidere tu, basta che non ce se siano due uguali che puntano a due diversi servizi, di norma se peschi un numero qualsiasi da 9000 a 9999 dovresti essere a posto.
Frumens
Messaggi: 12
Iscritto il: 05 mag 2021, 19:20

Re: Risposta agli attacchi ransomware qlocker!!

Messaggio da Frumens »

Scusate, ma non si potrebbe mettere qua i punti cardini dei settaggi da fare per avere il nostro NAS sicuro? Sarebbe utile per molti e poco dispersivo
Avatar utente
selvaggi
Messaggi: 1634
Iscritto il: 02 feb 2016, 14:30
Località: provincia di Ancona

Re: Risposta agli attacchi ransomware qlocker!!

Messaggio da selvaggi »

Qnap TS-251 : Tick : 2 HD 4TB Toshiba MD04ACA400 : Tick : 2 RAM 4GB Kingston KVR16LS11/4 : Tick : t&m logitech wireless combo mk270 : Tick : wi-fi TP-Link tl-wdn4200 : Tick :

: book : Tutorial : Sig : TS-251 App Center : Thumbup : TS-251 download : WohoW : Manuali : Tv Happy : /// : Question : : Question : Wikipedia : Ok :
Frumens
Messaggi: 12
Iscritto il: 05 mag 2021, 19:20

Re: Risposta agli attacchi ransomware qlocker!!

Messaggio da Frumens »

selvaggi ha scritto: 06 mag 2021, 16:45 Leggi qui https://www.dropbox.com/s/bu45b6ywapabs ... s.pdf?dl=0

c'è anche la discussione qui viewtopic.php?f=60&t=17596
Grazie!!!
valevale
Messaggi: 4
Iscritto il: 06 mag 2021, 11:24

Re: Risposta agli attacchi ransomware qlocker!!

Messaggio da valevale »

luciano ha scritto: 06 mag 2021, 11:54
valevale ha scritto: 06 mag 2021, 11:36 ma allora quali usare? cioè se io volessi cambiare la posta di sistema 8080 quale dovrei usare? dove posso trovare porte disponibili?
valevale, il numero della porta lo puoi decidere tu, basta che non ce se siano due uguali che puntano a due diversi servizi, di norma se peschi un numero qualsiasi da 9000 a 9999 dovresti essere a posto.
ci provo. grazie mille!
Avatar utente
luciano
Amministratore
Messaggi: 8707
Iscritto il: 25 apr 2008, 01:45
Località: Roma
Contatta:

Re: Risposta agli attacchi ransomware qlocker!!

Messaggio da luciano »

Breve riassunto (triste) su QLocker.
Avatar utente
PiaNi
Messaggi: 4181
Iscritto il: 25 ott 2011, 22:39
Località: Bari

Re: Risposta agli attacchi ransomware qlocker!!

Messaggio da PiaNi »

Lo scrivo qui.
Aggiornamento di sicurezza per HBS3.

( 2021/05/14 )
[Applicable Models]
- End-of-life NAS models running QTS 4.3.3 and QTS 4.3.4.

[Important Notes]
- This is a security update for end-of-life NAS models running QTS 4.3.3 and QTS 4.3.4.

[Enhancements]
- Improved code security.
Gigabyte B550M Aorus Pro-P | Ryzen 5700x + Scythe Fuma 2 | nVidia RTX 3060 12GB | NVMe WDBlack 500GB + WD120EFAX
TS 473A: 3×WD60EFRX Raid5
TS 133: SGT EXOS 16TB
TS 453A: 3×WD84PURZ Raid5
TS 251+: WD40EFAX (SMR!!)
Synology 1520+: 4×WD4003FRYZ Raid5
contenitore21
Messaggi: 494
Iscritto il: 14 lug 2013, 15:58

Re: Risposta agli attacchi ransomware qlocker!!

Messaggio da contenitore21 »

ts 212, non mi da nessun aggiornamento su hbs. forse hbs3 non è disponibile su ts212? io ho la versione 2.1.190909
Avatar utente
luciano
Amministratore
Messaggi: 8707
Iscritto il: 25 apr 2008, 01:45
Località: Roma
Contatta:

Re: Risposta agli attacchi ransomware qlocker!!

Messaggio da luciano »

contenitore21, il tuo NAS supporta il fw 4.3.3 e quindi HBS3 dovrebbe poter essere installabile, anche se leggendo le ultime release notes della HBS3 questo è l'ultimo aggiornamento che riceverà:

Codice: Seleziona tutto

HBS 3 Hybrid Backup Sync 3.0.210506 for QTS 4.3.3 and QTS 4.3.4
( 2021/05/14 )
[Applicable Models]
- End-of-life NAS models running QTS 4.3.3 and QTS 4.3.4.
 
[Important Notes]
- This is a security update for end-of-life NAS models running QTS 4.3.3 and QTS 4.3.4.
 
[Enhancements]
- Improved code security.
Sunnylady
Messaggi: 2
Iscritto il: 24 giu 2021, 14:17

Re: Risposta agli attacchi ransomware qlocker!!

Messaggio da Sunnylady »

Ciao a tutti e grazie per avermi accolto nel gruppo.
Ahimè faccio parte della schiera di utenti colpita ad Aprile dal malware qlocker ed ho trovato una serie di files (per lo più immagini) crittate.
In più ho innavvertitamente fatto aggiornamento al software nas (ho un 231P) con riavvio annesso e da quello che ho letto un po' in giro non è una buona cosa. Da profana, chi potrebbe ora consigliarmi come muovermi? Ho copiato tutto il contenuto su un'unità esterna (e da lì lancerei uno scanning con "non saprei quale software") e penserei di formattare completamente il NAS, che dite è la strada giusta? A questo proposito cerco anche la guida completa su come far ripartire poi il NAS, in un secondo tempo rimetterei dentro i files puliti e decrittati (sogno ad occhi aperti??)
Grazie a chiunque mi darà un gradito feedback forte della sua esperienza :-))
maveri
Messaggi: 1
Iscritto il: 08 dic 2021, 17:46

Re: Risposta agli attacchi ransomware qlocker!!

Messaggio da maveri »

salve a tutti, anch'io ho un nas qnap TS251A che in Aprile 2021 ha subito l'attacco; purtroppo la prima cosa che ho fatto, avendo altro a cui pensare, è stata quella di spegnerlo. Leggendo poi in rete mi sono reso conto che sarebbe stato meglio non farlo e cercare di recuperare la chiave mentre il processo di criptazione era ancora in corso, che era il mio caso.
Sinora non l'ho più riavviato in quanto non mi interessava; questa settimana ho sfilato il disco per leggerlo da pc, con scarso successo, nel senso che le cartelle dati non sono riuscito a vederle in esplora risorse ma mi è stato sufficiente aprire la cartella di sistema per leggere il famigerato file txt contenente la richiesta di riscatto.

ora la mia domanda, forse banale è la seguente:
se riavvio il nas, ammesso che si riavvi, ho tutto il tempo per fare le mie prove oppure il processo di criptazione riparte subito all'avvio e continua a fare danni?

e ancora, mi conviene tentare la strada Qrescue che qnap ha proposto a suo tempo? oppure affidarmi a un ticket collegandomi in assistenza remota dando loro l'accesso tramite l'helpdesk?
fabrizio.deva
Messaggi: 16
Iscritto il: 07 dic 2014, 22:24

Re: Risposta agli attacchi ransomware qlocker!!

Messaggio da fabrizio.deva »

Per il beneficio di tutti, vorrei condividere quanto "non" succede in QNAP...

Possiedo, tra le altre, anche due macchine QNAP (un TS-853A e un TS-851, entrambi con 16GB di RAM per uno spazio totale di circa 60TB).
In una delle due (sempre aggiornate), sono riusciti ad entrare senza (fortunatamente) far girare il malaware...

TESTI INTEGRALI:
------------------------------------------
Mio Ticket:
------------------------------------------
Buongiorno, in uno dei miei due nas, al percorso "/share/MD0_DATA" è apparso un file con nome "!!!READ_ME.txt" del 2022-01-10 09:50 e con questo testo: All your files were encrypted using a private and unique key generated for the computer. This key is stored in our server and the only way to receive your key and decrypt your files is making a Bitcoin payment. To purchase your key and decrypt your files, please follow these steps: 1. Dowload the Tor Browser at "https://www.torproject.org/". If you need help, please Google for "access onion page". 2. Visit the following pages with the Tor Browser: ... Al momento tutti i file sono accessibili. che cosa devo fare per effettuare le verifiche del caso ?


------------------------------------------
Ripsosta di QNAP:
------------------------------------------
Gentile cliente,

grazie per aver contattato il supporto tecnico QNAP.

Come primo step non esporre il NAS ad internet tramite forward delle porte di rete.

Successivamente verificare con attenzione che nessun file sia stato criptato.
Nel caso ne dovesse aver individuato qualcuno, ci faccia sapere qual'è la sua estensione.

Se non viene rilevato nessun file criptato, si consiglia di eseguire una copia completa di backup dei dati su di un device esterno al NAS
e successivamente procedere con la re-inizializzazione del sistema, così da eliminare qualsiasi possibile traccia lasciata dal malware.

Se le dovesse servire, di seguito la procedura da seguire:
N.B. la procedura indicata andrà a resettare tutte le impostazioni di sistema, i dati e le applicazioni presenti nei dischi.

- Effettuare backup dei dati in un dispositivo di memoria esterno (disco USB, PC, ecc.)
- Spegnere il NAS
- Avviarlo senza dischi inseriti
- Attendere 5 minuti per il completamento del boot
- Inserire i dischi a caldo
- Connettersi all'IP acquisito dal NAS con un browser
- Scegliere "Inizializzare il sistema"
- Seguire il wizard per completare l'installazione
- A sistema inizializzato, eseguire il ripristino dei dati nella loro posizione originale


Le lascio inoltre una guida QNAP per aumentare la sicurezza del proprio NAS quando viene esposto su internet:
https://www.qnap.com/it-it/how-to/faq/a ... za-del-nas

Faccia riferimento al seguente link per consigli sulla sicurezza del proprio NAS:
https://www.qnap.com/en/security-advisories

Consigliamo inoltre di iscriversi alla newsletter QNAP sulla sicurezza, continuamente aggiornata:
https://www.qnap.com/solution/topics-of-interest/it-it/


Un saluto.

------------------------------------------

@@@
Rispondere

Regards
Firma rimossa per rispestto della GDPR
QNAP Systems, Inc.
--
Website: http://www.qnap.com
Forum: http://forum.qnap.com
Wiki: http://wiki.qnap.com
Clausola esonerativa:
Advice and services provided by QNAP
------------------------------------------

Ora va bene tutto... ma almeno sapere quali sono i processi prima di dover pensare di dover reinstallare tutto...mi sembrerebbe proprio il minimo.
Buona giornata
Rispondi