Qnap Ransomware
#11
(22-04-2021, 09:03 PM)DonPeter escribió: Hola!, sobre el tutorial el último del canal de youtube de QNAP:
https://youtu.be/6CskuvHUFjc

Saludos.

Gracias DonPeter, le echaré un vistazo.

Nota de QNAP: https://www.qnap.com/es-es/news/2021/res...as-de-qnap

Dicen que los usuarios afectados no deben apagar el NAS... pues fue lo primero que hice. ¿Un Ransomware en la red local?... y porque estaba fuera de casa, que si no lo desenchufo y lo pongo en el rellano por si las flies.

Bueno, a ver si dan una solución.

Para los administradores, con el debido respeto... ¿no debería moverse este hilo a NOTICIAS o algo así? Parece bastante importante.
  Responder
#12
Hola!,

Tras realizar un backup actualizado de todo, me dispongo a volver a arrancar el nas. Actualizo Malware removal, he deshabiliado el servicio myqnapcloud y por el momento cualquier acceso exterior.

Compruebo en los procesos que no tengo ningun 7z activo, pero aun me siembra la duda de si sigue existiendo dentro de mi servidor. 
No se si se ha publicado en que parte estaría el script.

Malware removal no me indica que tenga ninguna amenaza.

Gracias1.
  Responder
#13
(23-04-2021, 11:20 AM)Tachu escribió:
(22-04-2021, 09:03 PM)DonPeter escribió: Hola!, sobre el tutorial el último del canal de youtube de QNAP:
https://youtu.be/6CskuvHUFjc

Saludos.



Para los administradores, con el debido respeto... ¿no debería moverse este hilo a NOTICIAS o algo así? Parece bastante importante.
Hecho!, gracias por la sugerencia.
  Responder
#14
(22-04-2021, 07:51 PM)DonPeter escribió: Buenas, os dejo info del twitter de QNAP: https://twitter.com/QNAPEspana/status/1385232478991011840

Además indicar que, si os ha entrado a alguno podéis intentar:

1. Do NOT REBOOt NAS , you can pass all steps if you already did
2. Connect nas over ssh
3. Use the command below to find if ransomware is in progress.
ps | grep 7z
4. If 7z is running, run command bellow
cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
5. Wait couple minutes use cat to grep encrypt key
cat /mnt/HDA_ROOT/7z.log
Looks like bellow
a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [FOLDER PATH]
mFyBIvp55M46kSxxxxxYv4EIhx7rlTD is decrypt password
6. Reboot nas and use mFyBIvp55M46kSxxxxxYv4EIhx7rlTD decrypt your files

Si lo veis complicado abrir un ticket desde service.qnap.com

Saludos!!


Buenas yo he sido infectado tambien por el Ransomware. He intentado seguir los pasos que indicas pero cuando llego al punto 4 (porque tengo el 7z corriendo) me indica lo siguiente: 

-sh: 7z.sh: Permission denied
chmod: 7z.sh: No such file or directory
mv: can`t rename '7z': Permission denied
mv: overwrite '7z'? (Escribo yes)
mv: can't rename '7z.sh': No such file or directory

¿Tenéis idea de porque ocurre?

Gracias y saludos,
  Responder
#15
Hola!, parece tema de permisos.
De todas formas recomiendo que contactéis con soporte de QNAP. Service.qnap.com que seguro que ya lo tienen “trillado”.

Saludos,
  Responder
#16
Buenos dias, respecto al nuevo ramoneare, de momento cruzo los dedos para que no entre. tengo untar de consultas.

En cuanto a seguridad tenia desde hace ya tiempo:
- el admin desactivado.
- upnp desactivado
- el firewall de qnap instalado en modo básico tal cual se enseño en el video del foro 
- desactivados los servicios que no usaba como ssh, ftp ...., solo los activo en caso de necesidad
- cambio los puertos por defecto y solamente conexión a través de https y el puerto por defecto cambiado
   
 
pero tengo activado myqnapcloud, para acceder al Was desde fuera suelo conectarme a través de OpenVPN para ver archivos dentro de el ademas de mirar los diferentes docker que tengo instalado en casa como Home Assistant o transmission por ejemplo. Accediendo de esta forma podría desactivar myqnapcloud que puede ser la posible puerta de entrada que me quedaría por cerrar no?

de esta forma estaria desactivado verdad?
   
   
  Responder
#17
Hola Oroimenak

Los ddns de myqnapcloud puedes dejarlos activados. Si no lo haces y tu OpenVPN usa ese nombre para localizar la ip pública de tu casa, no vas a poder encontrarla y conectarte.

Lo que yo desactivaría el el myqnapcloud link. Que no deja de ser un acceso a tu nas vía los servidores de qnap.

También es posible añadir segundos ddns gratuitos para que puedas localizar tu ip pública desde varios nombres. Y además te proteges frente a la posible caída de uno de ellos.
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny y TS-453Be)
  Responder
#18
Gracias ganeko. Justo había desactivado también las ddns de Qnap y estoy haciendo la prueba desde fuera de Casa a través de openvpn y me está conectando al nas. Entiendo que no hace uso de las ddns
  Responder
#19
(24-04-2021, 12:26 PM)Oroimenak escribió: Gracias ganeko. Justo había desactivado también las ddns de Qnap y estoy haciendo la prueba desde fuera de Casa a través de openvpn y me está conectando al nas. Entiendo que no hace uso de las ddns
O puede ser que todavía no se ha cambiado la ip.
Echa un vistazo al interior del archivo ovpn y ahí verás la dirección en formato FQDN. A no ser que tengas ip estática y tengas por número.
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny y TS-453Be)
  Responder
#20
(24-04-2021, 01:55 PM)Ganekogorta escribió:
(24-04-2021, 12:26 PM)Oroimenak escribió: Gracias ganeko. Justo había desactivado también las ddns de Qnap y estoy haciendo la prueba desde fuera de Casa a través de openvpn y me está conectando al nas. Entiendo que no hace uso de las ddns
O puede ser que todavía no se ha cambiado la ip.
Echa un vistazo al interior del archivo ovpn y ahí verás la dirección en formato FQDN. A no ser que tengas ip estática y tengas por número.

acabo de mirar dicho archivo y me aparece una ip, pero me suena que no tengo contratado ip estática, suele cambiar.
  Responder




Usuarios navegando en este tema: 1 invitado(s)