PTT數位生活區 / Storage_Zone (儲存裝置)

Re: [情報] QNAP NAS遭勒索軟體盯上

看板Storage_Zone (儲存裝置)作者 (班曼沃爾)時間3年前 (2021/04/22 15:25), 3年前編輯推噓20(22245)
留言69則, 28人參與, 3年前最新討論串2/5 (看更多)
大家 那個不幸的,這次我的QNAP中勒索了。 4/21 下午四點多中招,今天早上才發現 整個NAS裡面低於20MB的檔案都被鎖定成.7z的壓縮檔。 並且該目錄下有個 !!!READ_ME.txt 文字檔 裡面有付贖金的方式跟要提供的金鑰 (我早上已有回報QNAP的支援需求單,還在等待) (看網路上的內容,贖金是0.01比特幣) 目前還沒有什麼中文的網站有報導。 4/23更新 有中文的網站報導 新聞標題:威聯通NAS遭勒索軟體Qlocker攻擊,疑似甫修補的重大漏洞惹禍 https://www.ithome.com.tw/news/144004 可以參考 QNAP論壇的用戶回饋裡面的這篇。 https://forum.qnap.com/viewtopic.php?f=45&t=160849 或是下面這篇這個網址 標題是: Massive Qlocker ransomware attack uses 7zip to encrypt QNAP devices (抱歉,沒有縮網址) https://www.bleepingcomputer.com/news/security/massive-qlocker-ransomware- attack-uses-7zip-to-encrypt-qnap-devices/ ↑這裡面好像說有找到破解勒索的金鑰方法了,但4/22晚上10點前才會提供。 (美東時間10am) 4/23更新 這個方式確定失效了,被對方防堵 曾經我以為有設定快照,就沒什麼問題了。 但這次中招後,我想要恢復快照時,卻發現我的快照儲存也被處理掉了。 所以 我之後除了原本NAS裡面放快照之外,也會在外部儲存那邊放快照備份 希望大家的QNAP NAS在這波 沒有中。 也希望大家可以多提供 如何可以降低中獎的方法。 (我之前都沒注意,沒像那些文章內的把一些關掉或刪掉) 4/23 17:25更新,我4/22早上申請的QNAP需求 4/22下午開啟遠端協助 QNAP應該是剛剛16:00~17:25左右有進去遠端協助 剛傳過來回覆做一個段落。 以下是QNAP回覆內容的部分 XX先生你好 不好意思讓你久候,連線NAS查看加密動作已告一段落(請參考附檔截取的資訊),請參考步 驟將NAS重新初始化以恢復使用,造成不便深感抱歉。 心得: 1. 真的要準備贖金去贖回我的資料了 (來去研究買幣跟提供..) 2. 要多備份(離線 異地) 3. 該說攻擊方的贖金設定還蠻合理的嗎?? (比起硬碟壞掉的救援撈資料差不多) -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.130.229.53 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Storage_Zone/M.1619076303.A.7A9.html
04/22 15:39, 3年前 , 1F
高調一下 nas是大家重要的備份與防勒索病毒手段
04/22 15:39, 1F
04/22 15:40, 3年前 , 2F
連nas都會中的話 一些防禦機制需要讓大家都知道較好
04/22 15:40, 2F
04/22 15:45, 3年前 , 3F
高調
04/22 15:45, 3F
04/22 15:53, 3年前 , 4F
一般入侵也只是因為你當作網路硬碟用而已 根本不是
04/22 15:53, 4F
04/22 15:53, 3年前 , 5F
因為這些病毒有多神能辨識出你是不是Nas
04/22 15:53, 5F
04/22 15:53, 3年前 , 6F
連快照備份都被清掉是怎麼辦到的 @@?
04/22 15:53, 6F
04/22 15:54, 3年前 , 7F
好像要登入 NAS 才能清,沒辦法用檔案感染的方式?
04/22 15:54, 7F
04/22 15:54, 3年前 , 8F
還是先搞清楚你路由以及快照怎麼設定的 另外 歸零
04/22 15:54, 8F
04/22 15:54, 3年前 , 9F
就歸零 清零是支語ㄇ?
04/22 15:54, 9F
04/22 15:58, 3年前 , 10F
我從早上爬網路文章到現在,好像是針對QNAP的漏洞
04/22 15:58, 10F
04/22 15:59, 3年前 , 11F
那些文章內也有人懷疑,因為我不確定,所以沒寫出來
04/22 15:59, 11F
04/22 15:59, 3年前 , 12F
也因此 這次的勒索被命名為QLOCKER
04/22 15:59, 12F
04/22 16:01, 3年前 , 13F
QNAP的快照是什麼機制? 如果是zfs或btrfs,那感覺比
04/22 16:01, 13F
04/22 16:01, 3年前 , 14F
較像管理帳號被入侵
04/22 16:01, 14F
04/22 16:04, 3年前 , 15F
花點時間看內容吧 就是針對QNAP的服務port漏洞阿
04/22 16:04, 15F
04/22 16:05, 3年前 , 16F
我當初爬文的時候,別人說不像是被刪除,是被改名
04/22 16:05, 16F
04/22 16:06, 3年前 , 17F
這是標準的勒索病毒方式 但之前都是windows上被執行
04/22 16:06, 17F
04/22 16:06, 3年前 , 18F
程式 然後針對所有該機台可讀取到的硬碟與網芳執行
04/22 16:06, 18F
04/22 16:07, 3年前 , 19F
所以才沒有用"刪除"
04/22 16:07, 19F
04/22 16:07, 3年前 , 20F
加密壓縮 所以這些NAS在不透過網芳分享的情況下是很
04/22 16:07, 20F
04/22 16:08, 3年前 , 21F
安全的 但這漏洞發生後 以後得再增加更多的防禦機制
04/22 16:08, 21F
04/22 16:11, 3年前 , 22F
NAS的第一個字就是network的縮寫阿!
04/22 16:11, 22F
04/22 16:12, 3年前 , 23F
FB的NAS社團有教如何解密
04/22 16:12, 23F
04/22 16:14, 3年前 , 24F
之前也是有直攻445port的勒鎖病毒阿
04/22 16:14, 24F
04/22 16:17, 3年前 , 25F
你NAS是裸奔嗎?
04/22 16:17, 25F
04/22 16:50, 3年前 , 26F
這就是備份的重要性
04/22 16:50, 26F
04/22 16:54, 3年前 , 27F
紅的明顯 可以請教原PO 你NAS是不是有開port mappin
04/22 16:54, 27F
04/22 16:54, 3年前 , 28F
進來,可以直接從internet 存取你的NAS?
04/22 16:54, 28F
04/22 17:03, 3年前 , 29F
就內建的 myQNAPcloud,查了後才說該關的沒關 QQ"
04/22 17:03, 29F
04/22 17:11, 3年前 , 30F
說真的,或許鄉民得感謝win10 這麼雞巴郎的強迫更新
04/22 17:11, 30F
04/22 17:12, 3年前 , 31F
nas更新權在owner ,又是 7x24,要是ip裸奔更有趣
04/22 17:12, 31F
04/22 17:13, 3年前 , 32F
請教樓上 所謂"該關的沒關"是指什麼? 感謝指教!
04/22 17:13, 32F
04/22 17:13, 3年前 , 33F
小弟是想請教原po banman大
04/22 17:13, 33F
04/22 19:05, 3年前 , 34F
什麼時候QnapCloud變預設了阿哈哈哈
04/22 19:05, 34F
04/22 21:07, 3年前 , 35F
什麼quickconnect mycloud我都是不敢用的...
04/22 21:07, 35F
04/22 22:53, 3年前 , 36F
要更新nas了?
04/22 22:53, 36F
04/22 22:56, 3年前 , 37F
好奇,quickconnect 跟自己設 DDNS+port forwarding
04/22 22:56, 37F
04/22 22:56, 3年前 , 38F
安全性上有差嗎 0.0? 好像後者能自己換 port 而已
04/22 22:56, 38F
04/22 23:25, 3年前 , 39F
那種東西基本上就是個後門 誰知道server幾時會被打
04/22 23:25, 39F
04/23 00:49, 3年前 , 40F
爬完文,好古典的手法,直接鑽系統漏洞,NAS 執行
04/23 00:49, 40F
04/23 00:49, 3年前 , 41F
相關套件連上網路就會感染;不是用入侵的。
04/23 00:49, 41F
04/23 00:49, 3年前 , 42F
用的是 Hybrid Backup Sync 這套件的權限。
04/23 00:49, 42F
※ 編輯: banman (220.130.229.53 臺灣), 04/23/2021 08:17:53
04/23 09:36, 3年前 , 43F
又來了 我公司前年10月才中= =
04/23 09:36, 43F
04/23 10:34, 3年前 , 44F
一樣中了..快照也被刪了 囧
04/23 10:34, 44F
04/23 10:44, 3年前 , 45F
看來是有裝Hybrid Backup Sync的才有可能會中
04/23 10:44, 45F
04/23 11:12, 3年前 , 46F
而且是硬撞進來的,想知道苦主們pwd長度幾位才被開
04/23 11:12, 46F
04/23 11:51, 3年前 , 47F
看了一下QNAP官網對對快照的簡單說明,是用ext4檔案
04/23 11:51, 47F
04/23 11:51, 3年前 , 48F
系統快照.雖然不清楚細節為何,但是這種和zfs,btrfs
04/23 11:51, 48F
04/23 11:53, 3年前 , 49F
的檔案版本(copy on write)的機制感覺是不一樣的,有
04/23 11:53, 49F
04/23 11:53, 3年前 , 50F
錯請幫我更正
04/23 11:53, 50F
04/23 13:25, 3年前 , 51F
這一次是用系統漏洞的0-day攻擊,不是破解密碼
04/23 13:25, 51F
04/23 13:42, 3年前 , 52F
我差不多要準備贖金來救我的資料阿~~~~
04/23 13:42, 52F
04/23 16:13, 3年前 , 53F
看來,nas 要準備兩台才行,一台上線,一台離線
04/23 16:13, 53F
04/23 17:24, 3年前 , 54F
離線就不需要NAS了吧 買個外接硬碟定期備份一下就好
04/23 17:24, 54F
※ 編輯: banman (220.130.229.53 臺灣), 04/23/2021 17:32:22
04/23 17:25, 3年前 , 55F
現在NAS很多軟體都能USB接上去後自動備份了
04/23 17:25, 55F
04/23 17:55, 3年前 , 56F
離線的沒版控也沒用 只是把被綁架的系統複製一份
04/23 17:55, 56F
04/23 21:06, 3年前 , 57F
幹 我中了
04/23 21:06, 57F
04/24 15:01, 3年前 , 58F
1w5...就當作硬碟壞掉救援了orz..
04/24 15:01, 58F
04/24 15:12, 3年前 , 59F
備份有版控啊,Synology Hyper Backup 可自選還原點
04/24 15:12, 59F
04/24 15:12, 3年前 , 60F
QNAP 應該也有類似的備份套件。
04/24 15:12, 60F
04/24 15:12, 3年前 , 61F
應該沒人那麼可愛備份是用複製貼上到外接裝置吧。
04/24 15:12, 61F
04/24 15:34, 3年前 , 62F
回樓上,我...
04/24 15:34, 62F
04/24 15:58, 3年前 , 63F
樓上跟樓樓上 在一起 在一起 在一起~~~~(起哄ing)
04/24 15:58, 63F
04/24 15:59, 3年前 , 64F
備份批次或程式啦,不然好歹用 fastcopy 之類軟體吧
04/24 15:59, 64F
04/24 15:59, 3年前 , 65F
請愛用備份套件,我記得也有複製原始檔沒版控的 0.0
04/24 15:59, 65F
04/24 16:00, 3年前 , 66F
都排程讓他睡覺時間跑,很久沒手動備份了。
04/24 16:00, 66F
04/26 18:27, 3年前 , 67F
今天要用檔案才發現我也中了,星期六還有開檔案OK的
04/26 18:27, 67F
04/26 18:28, 3年前 , 68F
還在想資料夾都有帳密怎麼會中招...
04/26 18:28, 68F
04/27 01:41, 3年前 , 69F
我都用bat+RAR自己土砲第二備份
04/27 01:41, 69F
更多 banman 的文章
文章代碼(AID): #1WWIJFUf (Storage_Zone)
Storage_Zone 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 banman 的文章
文章代碼(AID): #1WWIJFUf (Storage_Zone)