Pagina 1 di 2
Risposta agli attacchi ransomware qlocker!!
Inviato: 23 apr 2021, 13:00
da luciano
Per qualsiasi dubbio usiamo pure questo thread, ulteriori dettagli a questo link.
Se siete stati attaccati, la soluzione (se e solo se il ransomware è ancora in fase di criptazione e NON avete riavviato il NAS) è qui.
Re: Risposta agli attacchi ransomware qlocker!!
Inviato: 23 apr 2021, 17:09
da Viper
Ciao,
vista questa nuova pessima notizia volevo chiedere per un paio di dubbi che mi girano nella testa ogni volta che sento parlare di questi simpatici hacker...
Utilizzando spazi di archiviazione con volumi crittografati e creando all'interno di essi cartelle condivise a loro volta protette da password, per accedervi occorre sbloccare manualmente prima il volume e poi la cartella.
Se si imposta il volume per sbloccarsi all'avvio, la cartella deve essere comunque sbloccata manualmente.
Se il volume resta bloccato, non si vede nemmeno la cartella quindi credo che non ci possa essere un attacco alla stessa.
Ora mi chiedevo, una cartella crittografata, quando è bloccata (ma il volume è sbloccato), può essere attaccata da un ransomware?
Cioè, una cartella crittografata bloccata è visibile da sistema nel volume ma non dovrebbe essere comunque accessibile con permessi di lettura/scrittura e quindi non crittografabile, è corretto?
Chiedo scusa anticipatamente se è una domanda un po' stupida.
In seconda battuta, esiste una guida a QFirewall un po' più user-friendly di quella del sito Qnap? Non son sicuro di usarlo correttamente o comprendere bene i suoi messaggi.
Grazie a tutti.
Ciao.
Re: Risposta agli attacchi ransomware qlocker!!
Inviato: 24 apr 2021, 09:00
da Batman
Anche qui
https://www.dday.it/redazione/39277/un- ... n-password viene riportata la notizia dell'attacco. Leggendo i commenti sotto l'articolo non sono pochi quelli che sono stati colpiti.
Premetto che non avendo abilitato l'accesso dall'esterno il NAS risulta pulito e per quei pochi dati in mobilità che mi servono uso il cloud, ma da ignorante in materia ho una domanda:
Con un uso regolare gli snapshot è possibile recuperare (anche in parte) i file zippati?
Re: Risposta agli attacchi ransomware qlocker!!
Inviato: 24 apr 2021, 20:06
da RockyDG
Colpito... (TS251)
Vi risulta un modo per recuperare i files?
Grazie a chi avrà pietà di rispondere
Re: Risposta agli attacchi ransomware qlocker!!
Inviato: 25 apr 2021, 00:16
da luciano
RockyDG, contatto il supporto QNAP aprendo un ticket, da quando si sa finora le condizioni per recuperare i dati sono almeno due: il ransomware deve essere ancora nella fase di criptazione dei file/directory e il NAS NON deve essere stato riavviato. Ma ripeto chi è stato affetto contatti subito QNAP.
Re: Risposta agli attacchi ransomware qlocker!!
Inviato: 25 apr 2021, 19:46
da lucam1970
Per chi è sotto attacco Qlocker segnalo una guida per tentare il recupero dei files che è stata pubblicata sul forum di Bleeping Computer
https://www.bleepingcomputer.com/forums ... try5171398
C'è anche una versione video su youtube. Di seguito il link:
https://www.youtube.com/watch?v=qv9mri_ ... hannel=TFI
Ci vuole un minimo di dimestichezza con l'inglese ma tra forum e youtube dovrebbe essere fattibile
Re: Risposta agli attacchi ransomware qlocker!!
Inviato: 26 apr 2021, 10:24
da luciano
lucam1970 ha scritto: ↑25 apr 2021, 19:46
Per chi è sotto attacco Qlocker segnalo una guida per tentare il recupero dei files [...]
Luca, grazie della segnalazione, però per chi non ha dimistichezza con Linux e il terminale suggerisco caldamente di aprire un ticket a QNAP, per evitare di perdere casomai l'unica chance. Mi hanno confermato che in molti scenari (dipende tutto dal fatto che QLocker sia ancora in fase di criptazione e il NAS non sia stato riavviato) è possibile per il supporto tecnico ufficiale recuperare i dati.
Re: Risposta agli attacchi ransomware qlocker!!
Inviato: 29 apr 2021, 16:20
da benny
Si sa come avviene l'attacco? Intendo se entra da qualche specifico servizio o deve essere esposta su internet l'interfaccia di gestione del NAS.
Re: Risposta agli attacchi ransomware qlocker!!
Inviato: 29 apr 2021, 17:15
da PiaNi
Batman ha scritto: ↑24 apr 2021, 09:00
Con un uso regolare gli snapshot è possibile recuperare (anche in parte) i file zippati?
Su linkedin, un utente commentava ad un post di Alvise Sinigaglia, dicendo che gli erano state cancellate le snapshot, oltre al criptaggio dei file e delle cartelle.
Sicuramente, gli hacker, sono entrati come admin.
Re: Risposta agli attacchi ransomware qlocker!!
Inviato: 29 apr 2021, 17:17
da B747
PiaNi ha scritto: ↑29 apr 2021, 17:15
Sicuramente, gli hacker, sono entrati come admin.
però io avevo l'utente admin disabilitato (ne avevo creato un'altro)... non si spiega
Re: Risposta agli attacchi ransomware qlocker!!
Inviato: 29 apr 2021, 17:41
da PiaNi
Loro entrano attraverso le vulnerabilità delle app, e probabilmente bypassano qualsiasi login.
Re: Risposta agli attacchi ransomware qlocker!!
Inviato: 29 apr 2021, 18:13
da B747
PiaNi ha scritto: ↑29 apr 2021, 17:41
Loro entrano attraverso le vulnerabilità delle app, e probabilmente bypassano qualsiasi login.
capito, grazie. Quindi di fatto disabilitare quell'utente serve a poco :-( mi sa che l'unica è non esporlo su internet. A proposito, io adesso ho disabilitato il qnapCloud, sul router la regola di natting l'avevo disabilitata molto tempo fa quando avevo attivato il loro servizio di cloud, eppure, nonostante ciò, trovo nel log del firewall diversi tentativi di accesso da IP di rete pubblica (che vengono bloccati). Ma se il nas non è nattato, come è possibile arrivarci da fuori? E' un problema del router? Considera che nel router ho anche disabilitato l'apertura porte automatica UPNP... non capisco
Re: Risposta agli attacchi ransomware qlocker!!
Inviato: 29 apr 2021, 18:45
da PiaNi
B747 ha scritto: ↑29 apr 2021, 18:13
PiaNi ha scritto: ↑29 apr 2021, 17:41
Loro entrano attraverso le vulnerabilità delle app, e probabilmente bypassano qualsiasi login.
capito, grazie. Quindi di fatto disabilitare quell'utente serve a poco :-( mi sa che l'unica è non esporlo su internet. A proposito, io adesso ho disabilitato il qnapCloud, sul router la regola di natting l'avevo disabilitata molto tempo fa quando avevo attivato il loro servizio di cloud, eppure, nonostante ciò, trovo nel log del firewall diversi tentativi di accesso da IP di rete pubblica (che vengono bloccati). Ma se il nas non è nattato, come è possibile arrivarci da fuori? E' un problema del router? Considera che nel router ho anche disabilitato l'apertura porte automatica UPNP... non capisco
La mia era un'ipotesi.
Oltre agli tentativi nel log del firewall, trovi qualcosa ner registro Log di accesso al sistema di QuLog?
Re: Risposta agli attacchi ransomware qlocker!!
Inviato: 29 apr 2021, 18:48
da B747
No, ma stranamente è completamente vuoto, quindi deve esserci qualcosa che non va ma non sono ancora riuscito a capire cosa...
Re: Risposta agli attacchi ransomware qlocker!!
Inviato: 29 apr 2021, 19:21
da contenitore21
B747 ha scritto: ↑29 apr 2021, 18:13
.....
capito, grazie. Quindi di fatto disabilitare quell'utente serve a poco :-( mi sa che l'unica è non esporlo su internet. A proposito, io adesso ho disabilitato il qnapCloud, sul router la regola di natting l'avevo disabilitata molto tempo fa quando avevo attivato il loro servizio di cloud, eppure, nonostante ciò, trovo nel log del firewall diversi tentativi di accesso da IP di rete pubblica (che vengono bloccati). Ma se il nas non è nattato, come è possibile arrivarci da fuori? E' un problema del router? Considera che nel router ho anche disabilitato l'apertura porte automatica UPNP... non capisco
non so se c'entra qualcosa: io ricevevo numerosi attacchi bloccati da login fail su admin avendo disattivato tale user; Poi ho attivato la connessione https e da allora sul log non trovo piu nessun attacco.
Re: Risposta agli attacchi ransomware qlocker!!
Inviato: 29 apr 2021, 19:33
da PiaNi
B747 ha scritto: ↑29 apr 2021, 18:48
No, ma stranamente è completamente vuoto, quindi deve esserci qualcosa che non va ma non sono ancora riuscito a capire cosa...
Probabilmente perchè il firewall interviene prima del log delle connessioni.
Re: Risposta agli attacchi ransomware qlocker!!
Inviato: 29 apr 2021, 19:45
da B747
Si è possibile
Re: Risposta agli attacchi ransomware qlocker!!
Inviato: 29 apr 2021, 21:49
da lucam1970
Non voglio generare allarmismi ma pare ci sia in giro un nuovo ransomware denominato AgeLocker che colpisce i NAS della Qnap.
La notizia mi è arrivata in un bullettin di oggi della Qnap stessa.
Qui il link alla relativa pagina web
https://www.qnap.com/it-it/security-advisory/qsa-21-15
Gli approfondimenti di Qnap sono tuttora in corso ....
Re: Risposta agli attacchi ransomware qlocker!!
Inviato: 03 mag 2021, 16:31
da luciano
PiaNi ha scritto: ↑29 apr 2021, 17:15
Batman ha scritto: ↑24 apr 2021, 09:00
Con un uso regolare gli snapshot è possibile recuperare (anche in parte) i file zippati?
Su linkedin, un utente commentava ad un post di Alvise Sinigaglia, dicendo che gli erano state cancellate le snapshot, oltre al criptaggio dei file e delle cartelle.
Sicuramente, gli hacker, sono entrati come admin.
Confermo che l'uso delle snapshot (se salvate localmente sul NAS) non sono d'aiuto con QLocker perchè queste vengono cancellate dal ransomware. Io uso lo snapshot replica verso un vecchio NAS che uso solo per quello. Lo faccio accendere un paio di volte a settimana e dal NAS principale ho creato un job che scarica le snapshot del nuovo sullo snapshot vault del vecchio NAS e poi si spegne.
Re: Risposta agli attacchi ransomware qlocker!!
Inviato: 04 mag 2021, 21:50
da Guero
Personalmente sono senza parole sono stato colpito ho inviato ticket a qnap ma ancora nessuna risposta al momento sono bloccato!!!