Qnap Ransomware - Versión para impresión +- Foro QNAP en español (https://www.qnapclub.es) +-- Foro: GENERAL (https://www.qnapclub.es/forumdisplay.php?fid=3) +--- Foro: Cuestiones técnicas (https://www.qnapclub.es/forumdisplay.php?fid=35) +--- Tema: Qnap Ransomware (/showthread.php?tid=4037) |
RE: Qnap Ransomware - monchang - 28-04-2021 Estoy en la la situación que aunque no he reiniciado que yo sepa, no veo en el log de public la clave, he puesto un ticket en qnap y no se como se podrá solucionar, intento hacer correctamente lo que pone por ssh pero el 7z.log que genera no lleva ninguna clave. Esto es nuevo para mi y me ha superado..... ayuda.. /usr/local/sbin/7z.orig "t" "/share/CACHEDEV1_DATA/Public/RAMON/DOCUMENTACION/DNI/DNI.jpeg.7z" /proc/26143:/bin/sh Uid: 0 0 0 0 /proc/26142:/bin/sh Uid: 0 0 0 0 /proc/26138:/home/httpd/cgi-bin/filemanager/utilRequest.cgi Uid: 0 0 0 0 /proc/26137:/home/httpd/cgi-bin/filemanager/utilRequest.cgi Uid: 0 0 0 0 /proc/17420:/mnt/ext/opt/apache/bin/apache Uid: 0 0 0 0 /proc/13746:/mnt/ext/opt/apache/bin/apache Uid: 0 0 0 0 /usr/local/sbin/7z.orig "x" "/share/CACHEDEV1_DATA/Public/RAMON/DOCUMENTACION/DNI/DNI.jpeg.7z" "-o/share/CACHEDEV1_DATA/Public/RAMON/DOCUMENTACION/DNI/.wfm_213295600" "-p" "-PF/tmp/wfm/wfm2_extract_status26138_percent" "-aoa" /proc/26216:/bin/sh Uid: 0 0 0 0 /proc/26215:/bin/sh Uid: 0 0 0 0 /proc/26141:/home/httpd/cgi-bin/filemanager/utilRequest.cgi Uid: 0 0 0 0 /usr/local/sbin/7z.orig "x" "-so" "./data.tar.7z" /proc/27377:/bin/sh Uid: 0 0 0 0 /proc/26841:/bin/sh Uid: 0 0 0 0 /proc/26840:/bin/sh Uid: 0 0 0 0 /proc/26734:/bin/sh Uid: 0 0 0 0 /proc/26733:/bin/sh Uid: 0 0 0 0 /proc/25631:/usr/local/sbin/qpkgd Uid: 0 0 0 0 /proc/7368:/usr/local/sbin/qpkgd Uid: 0 0 0 0 /usr/local/sbin/7z.orig "x" "-so" "./data.tar.7z" /proc/27874:/bin/sh Uid: 0 0 0 0 /proc/26841:/bin/sh Uid: 0 0 0 0 /proc/26840:/bin/sh Uid: 0 0 0 0 /proc/26734:/bin/sh Uid: 0 0 0 0 /proc/26733:/bin/sh Uid: 0 0 0 0 /proc/25631:/usr/local/sbin/qpkgd Uid: 0 0 0 0 /proc/7368:/usr/local/sbin/qpkgd Uid: 0 0 0 0 Qnap Ransomware - Ganekogorta - 28-04-2021 Hola Puede ser que ya hubiese terminado. Desgraciadamente este ramsonware afecta solo a los archivos de menor tamaño, los de menos de 20MB y es muy rápido en sus acción. Así afecta a los archivos personales como las fotos [emoji35] Lo mejor es aplicar los cambios que se han dicho de cierre de exposiciones de puertos, bloqueo de myqnapcloud link, aplicación de parches de actualización y vuelta atrás con las copias de seguridad. RE: Qnap Ransomware - Moreno - 28-04-2021 (28-04-2021, 12:55 AM)monchang escribió: Estoy en la la situación que aunque no he reiniciado que yo sepa, no veo en el log de public la clave, he puesto un ticket en qnap y no se como se podrá solucionar, intento hacer correctamente lo que pone por ssh pero el 7z.log que genera no lleva ninguna clave. Esto es nuevo para mi y me ha superado..... ayuda.. Hola monchang He elaborado una pequeña guía o tutorial con bastante información sobre el ataque, toda ella recabada de foros de seguridad y foro de qnap. Con ella pretendo simplemente ayudar, se explica que puede ser que el fichero 7z.log este vacio, también he de decirte que si le has pasado el Malware de Qnap este traslada el 7z.log de ubicación. Hay una manera de recuperar la info que esta explicada en el artículo, espero que te sea de ayuda. https://blogdeanillas.wordpress.com/2021/04/26/qlocker-qnap-nas-ransomware-encrypting-with-extension-7z-read_me-txt/ Cualquier cosa no dudes en preguntar. RE: Qnap Ransomware - monchang - 28-04-2021 (28-04-2021, 09:52 AM)Moreno escribió:(28-04-2021, 12:55 AM)monchang escribió: Estoy en la la situación que aunque no he reiniciado que yo sepa, no veo en el log de public la clave, he puesto un ticket en qnap y no se como se podrá solucionar, intento hacer correctamente lo que pone por ssh pero el 7z.log que genera no lleva ninguna clave. Esto es nuevo para mi y me ha superado..... ayuda.. RE: Qnap Ransomware - Oroimenak - 28-04-2021 Parece que han sacado nueva actualización de firmware. Qnap Ransomware - Ganekogorta - 28-04-2021 Hola Si la versión 4.5.2.1630 Ahora que no nos rompa otras cosas, que las prisas son malas consejeras [emoji6] Ahora hay que ver qué hacen con los modelos vintage [emoji120][emoji1696] Veo que actualiza la consola multimedia a la 1.3.4 y el Hybrid Mount a la 1.42888 o 1.3.2750 RE: Qnap Ransomware - Oroimenak - 28-04-2021 (28-04-2021, 07:27 PM)Ganekogorta escribió: HolaSi a eso le tengo miedo, a que nos rompa algo Qnap Ransomware - monchang - 28-04-2021 Pero una duda , es posible que en alguna actualización próxima se solucione el problema ? Eso sería viable ? Es decir que los archivos vuelvan así estado original? Enviado desde mi iPhone utilizando Tapatalk RE: Qnap Ransomware - Tachu - 28-04-2021 Bueno os cuento mi experiencia... Hasta hoy no he vuelto a reiniciar el NAS esperando respuesta de QNAP al ticket... Se disculpan y eso y me pasan los comandos a utilizar en caso de que el proceso siga en marcha o que no haya reiniciado el NAS, inutil en mi caso. Aconsejan cambiar puertos: ya lo he hecho con los dos el del sistema y el de conexión segura. Todas las app's actualizadas (incluido Malware Remover) que ha ejecutado un scanning automático nada más actualizarse, pero no me ha salido ningún aviso ni nada. Actualizado también QTS a la nueva versión: 4.5.3.1652 Vuelvo a realizar scanning con el MR y tampoco sale ningún aviso. Como ya comenté, ante el hecho de que tuviera todo encriptado sin solución, la idea era restaurar el NAS de fábrica, pero he descubierto, como ya se ha indicado anteriormente, que el bicho no ha encriptado los archivos grandes, es decir, en mi caso las películas. por lo que haré una limpia de archivos encriptados y me quedaré como estoy. La pregunta es: ¿Cómo me puedo asegurar que he eliminado el ransomware del sistema? Gracias. Qnap Ransomware - Ganekogorta - 28-04-2021 Hola Con pasar el Malware remover ya sirve. Si lo encuentra, lo elimina. Te ha encriptado todos los archivos de menos de 20MB. Las fotos, música y documentos habrán caído [emoji35] (28-04-2021, 07:29 PM)monchang escribió: Pero una duda , es posible que en alguna actualización próxima se solucione el problema ? Eso sería viable ? Es decir que los archivos vuelvan así estado original?Hola Dudo mucho que eso vaya a pasar. Otra cosa es que intenten sacar una aplicación para intentar hacerlo, que no sería más que automatizar en lo posible los scripts que se están usando para intentar recuperar datos. |