Qnap Ransomware
#31
Estoy en la la situación que aunque no he reiniciado que yo sepa, no veo en el log de public la clave, he puesto un ticket en qnap y no se como se podrá solucionar, intento hacer correctamente lo que pone por ssh pero el 7z.log que genera no lleva ninguna clave. Esto es nuevo para mi y me ha superado..... ayuda..

/usr/local/sbin/7z.orig "t" "/share/CACHEDEV1_DATA/Public/RAMON/DOCUMENTACION/DNI/DNI.jpeg.7z"
/proc/26143:/bin/sh
Uid: 0 0 0 0
/proc/26142:/bin/sh
Uid: 0 0 0 0
/proc/26138:/home/httpd/cgi-bin/filemanager/utilRequest.cgi
Uid: 0 0 0 0
/proc/26137:/home/httpd/cgi-bin/filemanager/utilRequest.cgi
Uid: 0 0 0 0
/proc/17420:/mnt/ext/opt/apache/bin/apache
Uid: 0 0 0 0
/proc/13746:/mnt/ext/opt/apache/bin/apache
Uid: 0 0 0 0
/usr/local/sbin/7z.orig "x" "/share/CACHEDEV1_DATA/Public/RAMON/DOCUMENTACION/DNI/DNI.jpeg.7z" "-o/share/CACHEDEV1_DATA/Public/RAMON/DOCUMENTACION/DNI/.wfm_213295600" "-p" "-PF/tmp/wfm/wfm2_extract_status26138_percent" "-aoa"
/proc/26216:/bin/sh
Uid: 0 0 0 0
/proc/26215:/bin/sh
Uid: 0 0 0 0
/proc/26141:/home/httpd/cgi-bin/filemanager/utilRequest.cgi
Uid: 0 0 0 0
/usr/local/sbin/7z.orig "x" "-so" "./data.tar.7z"
/proc/27377:/bin/sh
Uid: 0 0 0 0
/proc/26841:/bin/sh
Uid: 0 0 0 0
/proc/26840:/bin/sh
Uid: 0 0 0 0
/proc/26734:/bin/sh
Uid: 0 0 0 0
/proc/26733:/bin/sh
Uid: 0 0 0 0
/proc/25631:/usr/local/sbin/qpkgd
Uid: 0 0 0 0
/proc/7368:/usr/local/sbin/qpkgd
Uid: 0 0 0 0
/usr/local/sbin/7z.orig "x" "-so" "./data.tar.7z"
/proc/27874:/bin/sh
Uid: 0 0 0 0
/proc/26841:/bin/sh
Uid: 0 0 0 0
/proc/26840:/bin/sh
Uid: 0 0 0 0
/proc/26734:/bin/sh
Uid: 0 0 0 0
/proc/26733:/bin/sh
Uid: 0 0 0 0
/proc/25631:/usr/local/sbin/qpkgd
Uid: 0 0 0 0
/proc/7368:/usr/local/sbin/qpkgd
Uid: 0 0 0 0
  Responder
#32
Hola

Puede ser que ya hubiese terminado.
Desgraciadamente este ramsonware afecta solo a los archivos de menor tamaño, los de menos de 20MB y es muy rápido en sus acción.
Así afecta a los archivos personales como las fotos [emoji35]

Lo mejor es aplicar los cambios que se han dicho de cierre de exposiciones de puertos, bloqueo de myqnapcloud link, aplicación de parches de actualización y vuelta atrás con las copias de seguridad.
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Responder
#33
(28-04-2021, 12:55 AM)monchang escribió: Estoy en la la situación que aunque no he reiniciado que yo sepa, no veo en el log de public la clave, he puesto un ticket en qnap y no se como se podrá solucionar, intento hacer correctamente lo que pone por ssh pero el 7z.log que genera no lleva ninguna clave. Esto es nuevo para mi y me ha superado..... ayuda..

/usr/local/sbin/7z.orig "t" "/share/CACHEDEV1_DATA/Public/RAMON/DOCUMENTACION/DNI/DNI.jpeg.7z"
/proc/26143:/bin/sh
Uid: 0 0 0 0
/proc/26142:/bin/sh
Uid: 0 0 0 0
/proc/26138:/home/httpd/cgi-bin/filemanager/utilRequest.cgi
Uid: 0 0 0 0
/proc/26137:/home/httpd/cgi-bin/filemanager/utilRequest.cgi
Uid: 0 0 0 0
/proc/17420:/mnt/ext/opt/apache/bin/apache
Uid: 0 0 0 0
/proc/13746:/mnt/ext/opt/apache/bin/apache
Uid: 0 0 0 0
/usr/local/sbin/7z.orig "x" "/share/CACHEDEV1_DATA/Public/RAMON/DOCUMENTACION/DNI/DNI.jpeg.7z" "-o/share/CACHEDEV1_DATA/Public/RAMON/DOCUMENTACION/DNI/.wfm_213295600" "-p" "-PF/tmp/wfm/wfm2_extract_status26138_percent" "-aoa"
/proc/26216:/bin/sh
Uid: 0 0 0 0
/proc/26215:/bin/sh
Uid: 0 0 0 0
/proc/26141:/home/httpd/cgi-bin/filemanager/utilRequest.cgi
Uid: 0 0 0 0
/usr/local/sbin/7z.orig "x" "-so" "./data.tar.7z"
/proc/27377:/bin/sh
Uid: 0 0 0 0
/proc/26841:/bin/sh
Uid: 0 0 0 0
/proc/26840:/bin/sh
Uid: 0 0 0 0
/proc/26734:/bin/sh
Uid: 0 0 0 0
/proc/26733:/bin/sh
Uid: 0 0 0 0
/proc/25631:/usr/local/sbin/qpkgd
Uid: 0 0 0 0
/proc/7368:/usr/local/sbin/qpkgd
Uid: 0 0 0 0
/usr/local/sbin/7z.orig "x" "-so" "./data.tar.7z"
/proc/27874:/bin/sh
Uid: 0 0 0 0
/proc/26841:/bin/sh
Uid: 0 0 0 0
/proc/26840:/bin/sh
Uid: 0 0 0 0
/proc/26734:/bin/sh
Uid: 0 0 0 0
/proc/26733:/bin/sh
Uid: 0 0 0 0
/proc/25631:/usr/local/sbin/qpkgd
Uid: 0 0 0 0
/proc/7368:/usr/local/sbin/qpkgd
Uid: 0 0 0 0

Hola monchang

He elaborado una pequeña guía o tutorial con bastante información sobre el ataque, toda ella recabada de foros de seguridad y foro de qnap. Con ella pretendo simplemente ayudar, se explica que puede ser que el fichero 7z.log este vacio, también he de decirte que si le has pasado el Malware de Qnap este traslada el 7z.log de ubicación. Hay una manera de recuperar la info que esta explicada en el artículo, espero que te sea de ayuda. 

https://blogdeanillas.wordpress.com/2021/04/26/qlocker-qnap-nas-ransomware-encrypting-with-extension-7z-read_me-txt/

Cualquier cosa no dudes en preguntar.
Un saludo.

(QNAP TVS-663)
  Responder
#34
(28-04-2021, 09:52 AM)Moreno escribió:
(28-04-2021, 12:55 AM)monchang escribió: Estoy en la la situación que aunque no he reiniciado que yo sepa, no veo en el log de public la clave, he puesto un ticket en qnap y no se como se podrá solucionar, intento hacer correctamente lo que pone por ssh pero el 7z.log que genera no lleva ninguna clave. Esto es nuevo para mi y me ha superado..... ayuda..

/usr/local/sbin/7z.orig "t" "/share/CACHEDEV1_DATA/Public/RAMON/DOCUMENTACION/DNI/DNI.jpeg.7z"
/proc/26143:/bin/sh
Uid: 0 0 0 0
/proc/26142:/bin/sh
Uid: 0 0 0 0
/proc/26138:/home/httpd/cgi-bin/filemanager/utilRequest.cgi
Uid: 0 0 0 0
/proc/26137:/home/httpd/cgi-bin/filemanager/utilRequest.cgi
Uid: 0 0 0 0
/proc/17420:/mnt/ext/opt/apache/bin/apache
Uid: 0 0 0 0
/proc/13746:/mnt/ext/opt/apache/bin/apache
Uid: 0 0 0 0
/usr/local/sbin/7z.orig "x" "/share/CACHEDEV1_DATA/Public/RAMON/DOCUMENTACION/DNI/DNI.jpeg.7z" "-o/share/CACHEDEV1_DATA/Public/RAMON/DOCUMENTACION/DNI/.wfm_213295600" "-p" "-PF/tmp/wfm/wfm2_extract_status26138_percent" "-aoa"
/proc/26216:/bin/sh
Uid: 0 0 0 0
/proc/26215:/bin/sh
Uid: 0 0 0 0
/proc/26141:/home/httpd/cgi-bin/filemanager/utilRequest.cgi
Uid: 0 0 0 0
/usr/local/sbin/7z.orig "x" "-so" "./data.tar.7z"
/proc/27377:/bin/sh
Uid: 0 0 0 0
/proc/26841:/bin/sh
Uid: 0 0 0 0
/proc/26840:/bin/sh
Uid: 0 0 0 0
/proc/26734:/bin/sh
Uid: 0 0 0 0
/proc/26733:/bin/sh
Uid: 0 0 0 0
/proc/25631:/usr/local/sbin/qpkgd
Uid: 0 0 0 0
/proc/7368:/usr/local/sbin/qpkgd
Uid: 0 0 0 0
/usr/local/sbin/7z.orig "x" "-so" "./data.tar.7z"
/proc/27874:/bin/sh
Uid: 0 0 0 0
/proc/26841:/bin/sh
Uid: 0 0 0 0
/proc/26840:/bin/sh
Uid: 0 0 0 0
/proc/26734:/bin/sh
Uid: 0 0 0 0
/proc/26733:/bin/sh
Uid: 0 0 0 0
/proc/25631:/usr/local/sbin/qpkgd
Uid: 0 0 0 0
/proc/7368:/usr/local/sbin/qpkgd
Uid: 0 0 0 0

Hola monchang

He elaborado una pequeña guía o tutorial con bastante información sobre el ataque, toda ella recabada de foros de seguridad y foro de qnap. Con ella pretendo simplemente ayudar, se explica que puede ser que el fichero 7z.log este vacio, también he de decirte que si le has pasado el Malware de Qnap este traslada el 7z.log de ubicación. Hay una manera de recuperar la info que esta explicada en el artículo, espero que te sea de ayuda. 

https://blogdeanillas.wordpress.com/2021/04/26/qlocker-qnap-nas-ransomware-encrypting-with-extension-7z-read_me-txt/

Cualquier cosa no dudes en preguntar.

Muchas gracias por tu respuesta, la verdad es que estoy desesperado “a toro pasado” estoy mejorando la seguridad. Revisaré lo que has comentado a ver si hay suerte , gracias nuevamente saludos 
  Responder
#35
Parece que han sacado nueva actualización de firmware.
  Responder
#36
Hola
Si la versión 4.5.2.1630
Ahora que no nos rompa otras cosas, que las prisas son malas consejeras [emoji6]

Ahora hay que ver qué hacen con los modelos vintage [emoji120][emoji1696]

Veo que actualiza la consola multimedia a la 1.3.4 y el Hybrid Mount a la 1.42888 o 1.3.2750
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Responder
#37
(28-04-2021, 07:27 PM)Ganekogorta escribió: Hola
Si la versión 4.5.2.1630
Ahora que no nos rompa otras cosas, que las prisas son malas consejeras [emoji6]
Si   a eso le tengo miedo, a que nos rompa algo
  Responder
#38
Pero una duda , es posible que en alguna actualización próxima se solucione el problema ? Eso sería viable ? Es decir que los archivos vuelvan así estado original?


Enviado desde mi iPhone utilizando Tapatalk
  Responder
#39
Bueno os cuento mi experiencia...

Hasta hoy no he vuelto a reiniciar el NAS esperando respuesta de QNAP al ticket... Se disculpan y eso y me pasan los comandos a utilizar en caso de que el proceso siga en marcha o que no haya reiniciado el NAS, inutil en mi caso.

Aconsejan cambiar puertos: ya lo he hecho con los dos el del sistema y el de conexión segura. Todas las app's actualizadas (incluido Malware Remover) que ha ejecutado un scanning automático nada más actualizarse, pero no me ha salido ningún aviso ni nada.

Actualizado también QTS a la nueva versión: 4.5.3.1652

Vuelvo a realizar scanning con el MR y tampoco sale ningún aviso.

Como ya comenté, ante el hecho de que tuviera todo encriptado sin solución, la idea era restaurar el NAS de fábrica, pero he descubierto, como ya se ha indicado anteriormente, que el bicho no ha encriptado los archivos grandes, es decir, en mi caso las películas. por lo que haré una limpia de archivos encriptados y me quedaré como estoy.

La pregunta es: ¿Cómo me puedo asegurar que he eliminado el ransomware del sistema?

Gracias.
  Responder
#40
Hola
Con pasar el Malware remover ya sirve. Si lo encuentra, lo elimina.

Te ha encriptado todos los archivos de menos de 20MB. Las fotos, música y documentos habrán caído [emoji35]

(28-04-2021, 07:29 PM)monchang escribió: Pero una duda , es posible que en alguna actualización próxima se solucione el problema ? Eso sería viable ? Es decir que los archivos vuelvan así estado original?


Enviado desde mi iPhone utilizando Tapatalk
Hola
Dudo mucho que eso vaya a pasar. Otra cosa es que intenten sacar una aplicación para intentar hacerlo, que no sería más que automatizar en lo posible los scripts que se están usando para intentar recuperar datos.
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Responder




Usuarios navegando en este tema: 1 invitado(s)