Qnap Ransomware
#21
Hola

No hay ni problema en usar el ddns de myqnapcloud.

Te recomiendo activar un segundo ddns. Con DuckDNS te evitas estar realizando confirmaciones cada mes como te hace no-ip.

Tendrás que darte de alta una cuenta en ellos. Luego es agregarlo en la nas, o en cualquier equipo de tu red (incluso hay routers que pueden hacerlo)
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny y TS-453Be)
  Responder
#22
(23-04-2021, 04:51 PM)DonPeter escribió: Hola!, parece tema de permisos.
De todas formas recomiendo que contactéis con soporte de QNAP. Service.qnap.com que seguro que ya lo tienen “trillado”.

Saludos,

Muchas gracias DonPeter, eso he echo estoy esperando su contestación. Con lo que me respondan lo dejaré por aquí por si a alguien le puede interesar.

Gracias y saludos,
  Responder
#23
Esto es lo que me han respondido del servicio tecnico de QNAP:

El equipo de Asistencia técnica de QNAP ha actualizado la solicitud de asistencia. Para consultar esta solicitud, vaya al Portal del cliente de QNAP A continuación se muestra una vista previa de la solicitud actualizadaAngry@@
Estimado cliente,

Muchas gracias por ponerse en contacto con el equipo de soporte de QNAP.

Le pedimos disculpas por todas las molestias ocasionadas. 

Creemos que el ataque está relacionado con CVE-2020-36195 y CVE-2021-28799

https://www.qnap.com/en/security-advisory/qsa-21-11

https://www.qnap.com/en/security-advisory/qsa-21-13

Por lo tanto, recomendamos encarecidamente actualizar Multimedia Console, HBS3 and Media Streaming Add-on a la última versión.También es cambiar el puerto web predeterminado 8080 a uno menos común (y no reinicie ni apague el NAS).

También hemos lanzado una actualización de Malware remover, que escaneara el ataque y recuperará la clave de cifrado si el cifrado aún está en curso.

Si ya había apagado / reiniciado el NAS o el proceso de cifrado ha concluido, lamentablemente, en este momento no tenemos una solución para obtener la clave de descifrado. Por lo que los datos sólo serán recuperables, si previamente había hecho una copia de seguridad de los mismos en una ubicación externa.

Si descubre que el cifrado aún está en curso (NO DEBE reiniciar ni apagar el NAS), siga estos pasos a continuación para obtener la clave de cifrado, mientras el proceso aún se está ejecutando.

Método 1

Instale Malware Remover desde el APP center y ejecútelo manualmente;Conéctese al NAS via SSHUse el siguiente comando para verificar si el proceso de cifrado está en curso.  
cp `getcfg MalwareRemover Install_Path -f /etc/config/qpkg.conf`/7z.log /share/Public

Si el comando devuelve ‘No such file or directory’  significa que el NAS se ha reiniciado o que el proceso de cifrado ha finalizado, si ese es el caso, lamentablemente no hay nada que podamos hacer en este momento para ayudarle;Si el comando se ha ejecutado correctamente, podrá ver un archivo llamado “7z.log” en la carpeta “Public” , que incluirá la contraseña;La contraseña se mostrará de la siguiente forma:
a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [RUTA A LA CARPETA]

mFyBIvp55M46kSxxxxxYv4EIhx7rlTD es la contraseña

Puede reiniciar el NAS y usar la contraseña para descifrar los archivos;Si no sabe cómo leer la contraseña, envíeme el archivo “7z.log”  que encuentre en la carpeta”Public” e intentaré proporcionarle la contraseña. En caso de que el archivo no exista, quiere decir que no hemos podido obtener la contraseña
Método

  Conéctese al NAS via SSH;Utilice el siguiente comando para averiguar si el ransomware todavía está en curso..
ps | grep 7z

Si el comando devuelve el proceso, significa que el NAS se ha reiniciado o que el proceso de cifrado ha finalizado, si ese es el caso, lamentablemente no hay nada que podamos hacer en este momento para ayudarle;Si 7z se está ejecutando, copie / pegue el comando a continuación y presione enter (1 línea) 
cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;

Espere un par de minutos para obtener la contraseña con el siguiente comando;
cat /mnt/HDA_ROOT/7z.log

La contraseña se mostrará de la siguiente forma:

a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [RUTA A LA CARPETA]

mFyBIvp55M46kSxxxxxYv4EIhx7rlTD es la contraseña

Puede reiniciar el NAS y usar la contraseña para descifrar los archivos;Si no sabe cómo leer la contraseña, envíeme el archivo “7z.log”  que encuentre en la carpeta”Public” e intentaré proporcionarle la contraseña. En caso de que el archivo no exista, quiere decir que no hemos podido obtener la contraseña
Si tiene alguna duda hágamelo saber.

 
Un saludo

El ataque a mi equipo se produjo el martes 22 y yo no me di cuenta hasta la madrugada del miercoles, porque vi la noticia.
Cuando entre al NAS vi todo encriptado y el Malware Remover me indicaba claramente que reiniciara el equipo, y asi lo hice perdiendo la oportunidad de usar el metodo para conseguir la contraseña.

Llegados a este punto solo me queda usar el metodo de recuperación mediante Photorec, aqui hay un video al respecto:

https://www.youtube.com/watch?v=qv9mri_xHg0

Sin embargo me quedo atascado el segundo punto, montar la carpeta de windows:

sudo mount -t  cifs -o user=<USERNAMEOFREMOTECOMPUTER> //XXX.XXX.XXX.XXX/ /mnt/rescue-share

He creado un usuario de windows especifico con contraseña en mi PC y he creado una carpeta compartida con todos los permisos para ese usuario. Me conecto usando putty al NAS mediante ssh con la cuenta admin. Pero cuando pongo esa linea siempre obtengo:

mount error: could not resolve address for NOMBREDEEQUIPO: Unknown error

He estado mirando información al respecto pero no doy con la clave y asi poder intentar recuperar algo. 

Alguna idea de porque no encuentra la carpeta que tengo compartida en mi windows?
  Responder
#24
Hola a todos.

Pues uno más que ha recibido dicho ataque, pero gracias a que se han alineado los planetas el daño causado no llega al 2%.

Realmente solo me ha comprimido ficheros de menos de 20 Megas y sobre todo extensiones jpg. El resto que son vídeos con bastante peso no han sufrido daño.

Para recuperar el resto de los ficheros he usado la herramienta PhotoRec y el exito a sido total. EL único inconveniente es que los ficheros estan desordenados, tardaremos un tiempo en ordenarlos pero me doy por satisfecho con tenerlos a salvo.

Sphera comentarte que el error que obtienes es que la máquina no encuentra el destino para montar tu unidad de red. En el vídeo se usa el nombre de la máquina de destino, esa técnica puede generar errores si no tienes configurado las DNS, un servidor WINS o un fichero hosts en el NAS para la red interna, lo más sencillo es usar la dirección IP de la máquina que esta compartiendo dicho recurso.

Yo directamente he usado el mismo usuario que suelo usar en windows (es un usuario básico sin permisos ninguno, solo accede a ciertas partes), también comentarte que discrimina las mayúsculas y las minúsculas.

Te tipeo la linea tal como la he escrito: (Muy importante la dirección de las barras en el nombre de la máquina)
sudo mount -t  cifs -o user=mi_nombre_de_usuario //IP_de_La_maquina_que_comparte/nombre_de_la_carpeta_destino /mnt/rescue-share

Ejemplo:
sudo mount -t cifs -o user=pjperez //192.168.0.100/backup /mnt/rescue-share

Para asegurarte que tienes bien escrita la dirección de la máquina, puedes abrir una carpeta de windows y seleccionar RED, escribes la dirección de la máquina que comparte el disco duro y si todo es correcto debería de montar la unidad en el NAS,

Después sigues los pasos tal como se comenta en el documento que has puesto y comenzará a copiar.

Lo que me asalta la duda ahora, es una vez tenga restaurado todos los ficheros y completa la copia de seguridad, será seguro usar el NAS o tendré que esperar a que saquen un parche. Porque realmente mi NAS estaba actualizado con el último firmware.

Aquí estaremos para lo que necesiteis.
Un saludo.
Un saludo.

(QNAP TVS-663)
  Responder
#25
(25-04-2021, 06:51 PM)Moreno escribió: Hola a todos.

Pues uno más que ha recibido dicho ataque, pero gracias a que sean alineado los planetas el daño causado no llega al 2%.

Realmente solo me ha comprimido ficheros de menos de 20 Megas y sobre todo extensiones jpg. El resto que son vídeos con bastante peso no han sufrido daño.

Para recuperar el resto de los ficheros he usado la herramienta PhotoRec y el exito a sido total. EL único inconveniente es que los ficheros estan desordenados, tardaremos un tiempo en ordenarlos pero me doy por satisfecho con tenerlos a salvo.

Sphera comentarte que el error que obtienes es que la máquina no encuentra el destino para montar tu unidad de red. En el vídeo se usa el nombre de la máquina de destino, esa técnica puede generar errores si no tienes configurado las DNS, un servidor WINS o un fichero hosts en el NAS para la red interna, lo más sencillo es usar la dirección IP de la máquina que esta compartiendo dicho recurso.

Yo directamente he usado el mismo usuario que suelo usar en windows (es un usuario básico sin permisos ninguno, solo accede a ciertas partes), también comentarte que discrimina las mayúsculas y las minúsculas.

Te tipeo la linea tal como la he escrito: (Muy importante la dirección de las barras en el nombre de la máquina)
sudo mount -t  cifs -o user=mi_nombre_de_usuario //IP_de_La_maquina_que_comparte/nombre_de_la_carpeta_destino /mnt/rescue-share

Ejemplo:
sudo mount -t cifs -o user=pjperez //192.168.0.100/backup /mnt/rescue-share

Para asegurarte que tienes bien escrita la dirección de la máquina, puedes abrir una carpeta de windows y seleccionar RED, escribes la dirección de la máquina que comparte el disco duro y si todo es correcto debería de montar la unidad en el NAS,

Después sigues los pasos tal como se comenta en el documento que has puesto y comenzará a copiar.

Lo que me asalta la duda ahora, es una vez tenga restaurado todos los ficheros y completa la copia de seguridad, será seguro usar el NAS o tendré que esperar a que saquen un parche. Porque realmente mi NAS estaba actualizado con el último firmware.

Aquí estaremos para lo que necesiteis.
Un saludo.

Hola,

Tambien lo he intentado poniendo la IP de mi equipo, entiendo que es la IP de mi ordenador, donde esta la carpeta que quiero montar en el qnap. Tambien asi me ha dado el mismo fallo.
He mirado que samba este activo en el PC y en el Qnap, y los tengo. Será algo que tengo que activar por algun lado?
La linea que pongo es clavada a la que pones tu:

sudo mount -t cifs -o user=pjperez //192.168.0.100/backup /mnt/rescue-share

Pero con mis datos, mirando bien las barras y mayusculas y minusculas. Me pide la contraseña, se la pongo (una muy sencilla que cree junto con el nuevo usuario) y luego me da el error:

mount error(115): Operation now in progress

Llevo desde ayer con esto y nada. No se que mas probar la verdad. Debe de ser una tonteria y no la veo.
  Responder
#26
Hola Moreno

Me alegra oír que tenga hecho pocos daños y que has recuperado desde una copia de seguridad.

Ahora estaría bien saber cómo te ha entrado.
-Unos dice que por qsync, pero no le veo sentido si sólo está accesible en red local.
-otros que por multimedia. De nuevo me pregunto ¿lo dejan accesible desce internet?
-otros por myqnapcloud link.

Yo creo que es más fácil que hayan entrado vía myqnapcloud. Muchos tenían abierta esa puerta de acceso vía qnap y luego se han aprovechado de las vulnerabilidades de las aplicaciones HBS3, Qsync,...

Pero sin datos fiables y objetivos no puedo asegurarlo.

Lo mejor a día de hoy es cerrar accesos desde el exterior, actualizar aplicaciones y dejar únicamente los accesos vía VPN.
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny y TS-453Be)
  Responder
#27
(25-04-2021, 08:05 PM)Sphera escribió:
(25-04-2021, 06:51 PM)Moreno escribió: Hola a todos.

Pues uno más que ha recibido dicho ataque, pero gracias a que sean alineado los planetas el daño causado no llega al 2%.

Realmente solo me ha comprimido ficheros de menos de 20 Megas y sobre todo extensiones jpg. El resto que son vídeos con bastante peso no han sufrido daño.

Para recuperar el resto de los ficheros he usado la herramienta PhotoRec y el exito a sido total. EL único inconveniente es que los ficheros estan desordenados, tardaremos un tiempo en ordenarlos pero me doy por satisfecho con tenerlos a salvo.

Sphera comentarte que el error que obtienes es que la máquina no encuentra el destino para montar tu unidad de red. En el vídeo se usa el nombre de la máquina de destino, esa técnica puede generar errores si no tienes configurado las DNS, un servidor WINS o un fichero hosts en el NAS para la red interna, lo más sencillo es usar la dirección IP de la máquina que esta compartiendo dicho recurso.

Yo directamente he usado el mismo usuario que suelo usar en windows (es un usuario básico sin permisos ninguno, solo accede a ciertas partes), también comentarte que discrimina las mayúsculas y las minúsculas.

Te tipeo la linea tal como la he escrito: (Muy importante la dirección de las barras en el nombre de la máquina)
sudo mount -t  cifs -o user=mi_nombre_de_usuario //IP_de_La_maquina_que_comparte/nombre_de_la_carpeta_destino /mnt/rescue-share

Ejemplo:
sudo mount -t cifs -o user=pjperez //192.168.0.100/backup /mnt/rescue-share

Para asegurarte que tienes bien escrita la dirección de la máquina, puedes abrir una carpeta de windows y seleccionar RED, escribes la dirección de la máquina que comparte el disco duro y si todo es correcto debería de montar la unidad en el NAS,

Después sigues los pasos tal como se comenta en el documento que has puesto y comenzará a copiar.

Lo que me asalta la duda ahora, es una vez tenga restaurado todos los ficheros y completa la copia de seguridad, será seguro usar el NAS o tendré que esperar a que saquen un parche. Porque realmente mi NAS estaba actualizado con el último firmware.

Aquí estaremos para lo que necesiteis.
Un saludo.

Cita:Hola,

Tambien lo he intentado poniendo la IP de mi equipo, entiendo que es la IP de mi ordenador, donde esta la carpeta que quiero montar en el qnap. Tambien asi me ha dado el mismo fallo.
He mirado que samba este activo en el PC y en el Qnap, y los tengo. Será algo que tengo que activar por algun lado?
La linea que pongo es clavada a la que pones tu:

sudo mount -t cifs -o user=pjperez //192.168.0.100/backup /mnt/rescue-share

Pero con mis datos, mirando bien las barras y mayusculas y minusculas. Me pide la contraseña, se la pongo (una muy sencilla que cree junto con el nuevo usuario) y luego me da el error:

mount error(115): Operation now in progress

Llevo desde ayer con esto y nada. No se que mas probar la verdad. Debe de ser una tonteria y no la veo.
¿Sphera puedes ver la unidad compartida desde tu propia red.?

Comprueba desde una ventana de windows, si puedes acceder a ese recurso compartido: 

\\Ip_de_tu_maquina\ y si todo va bien debería de mostrarte la o las capetas compartidas. (Adjunto imagen donde poner la dirección en la ventana)

SI te genera un error o no aparecen en tu máquina la carpeta compartida es que no la estas compartiendo bien.

Si por contrario te aparece la carpeta, reinicia tu NAS. (Si ya ha sido encriptado no tendrías que preocuparte.)

Y vuelve a intentarlo


Archivos adjuntos Imagen(es)
   
Un saludo.

(QNAP TVS-663)
  Responder
#28
(25-04-2021, 08:27 PM)Moreno escribió:
(25-04-2021, 08:05 PM)Sphera escribió:
(25-04-2021, 06:51 PM)Moreno escribió: Hola a todos.

Pues uno más que ha recibido dicho ataque, pero gracias a que sean alineado los planetas el daño causado no llega al 2%.

Realmente solo me ha comprimido ficheros de menos de 20 Megas y sobre todo extensiones jpg. El resto que son vídeos con bastante peso no han sufrido daño.

Para recuperar el resto de los ficheros he usado la herramienta PhotoRec y el exito a sido total. EL único inconveniente es que los ficheros estan desordenados, tardaremos un tiempo en ordenarlos pero me doy por satisfecho con tenerlos a salvo.

Sphera comentarte que el error que obtienes es que la máquina no encuentra el destino para montar tu unidad de red. En el vídeo se usa el nombre de la máquina de destino, esa técnica puede generar errores si no tienes configurado las DNS, un servidor WINS o un fichero hosts en el NAS para la red interna, lo más sencillo es usar la dirección IP de la máquina que esta compartiendo dicho recurso.

Yo directamente he usado el mismo usuario que suelo usar en windows (es un usuario básico sin permisos ninguno, solo accede a ciertas partes), también comentarte que discrimina las mayúsculas y las minúsculas.

Te tipeo la linea tal como la he escrito: (Muy importante la dirección de las barras en el nombre de la máquina)
sudo mount -t  cifs -o user=mi_nombre_de_usuario //IP_de_La_maquina_que_comparte/nombre_de_la_carpeta_destino /mnt/rescue-share

Ejemplo:
sudo mount -t cifs -o user=pjperez //192.168.0.100/backup /mnt/rescue-share

Para asegurarte que tienes bien escrita la dirección de la máquina, puedes abrir una carpeta de windows y seleccionar RED, escribes la dirección de la máquina que comparte el disco duro y si todo es correcto debería de montar la unidad en el NAS,

Después sigues los pasos tal como se comenta en el documento que has puesto y comenzará a copiar.

Lo que me asalta la duda ahora, es una vez tenga restaurado todos los ficheros y completa la copia de seguridad, será seguro usar el NAS o tendré que esperar a que saquen un parche. Porque realmente mi NAS estaba actualizado con el último firmware.

Aquí estaremos para lo que necesiteis.
Un saludo.

Cita:Hola,

Tambien lo he intentado poniendo la IP de mi equipo, entiendo que es la IP de mi ordenador, donde esta la carpeta que quiero montar en el qnap. Tambien asi me ha dado el mismo fallo.
He mirado que samba este activo en el PC y en el Qnap, y los tengo. Será algo que tengo que activar por algun lado?
La linea que pongo es clavada a la que pones tu:

sudo mount -t cifs -o user=pjperez //192.168.0.100/backup /mnt/rescue-share

Pero con mis datos, mirando bien las barras y mayusculas y minusculas. Me pide la contraseña, se la pongo (una muy sencilla que cree junto con el nuevo usuario) y luego me da el error:

mount error(115): Operation now in progress

Llevo desde ayer con esto y nada. No se que mas probar la verdad. Debe de ser una tonteria y no la veo.
¿Sphera puedes ver la unidad compartida desde tu propia red.?

Comprueba desde una ventana de windows, si puedes acceder a ese recurso compartido: 

\\Ip_de_tu_maquina\ y si todo va bien debería de mostrarte la o las capetas compartidas. (Adjunto imagen donde poner la dirección en la ventana)

SI te genera un error o no aparecen en tu máquina la carpeta compartida es que no la estas compartiendo bien.

Si por contrario te aparece la carpeta, reinicia tu NAS. (Si ya ha sido encriptado no tendrías que preocuparte.)

Y vuelve a intentarlo
Hola, ya lo he conseguido. Me da hasta un poco de verguenza..era el firewall del kaspersky, he desactivado la protección y listo. Ya me ha dejado crear la carpeta, con tanta preocupación no habia caido en lo mas sencillo. Muchas gracias por tu ayuda Moreno
  Responder
#29
(25-04-2021, 08:09 PM)Ganekogorta escribió: Hola Moreno

Me alegra oír que tenga hecho pocos daños y que has recuperado desde una copia de seguridad.

Ahora estaría bien saber cómo te ha entrado.
-Unos dice que por qsync, pero no le veo sentido si sólo está accesible en red local.
-otros que por multimedia. De nuevo me pregunto ¿lo dejan accesible desce internet?
-otros por myqnapcloud link.

Yo creo que es más fácil que hayan entrado vía myqnapcloud. Muchos tenían abierta esa puerta de acceso vía qnap y luego se han aprovechado de las vulnerabilidades de las aplicaciones HBS3, Qsync,...

Pero sin datos fiables y objetivos no puedo asegurarlo.

Lo mejor a día de hoy es cerrar accesos desde el exterior, actualizar aplicaciones y dejar únicamente los accesos vía VPN.

 Hola Ganekogorta

He estado analizando la situación y el día que recibí el ataque que fue el día 21 sobre las 6 de la mañana, solo aparece un acceso del perfil admin (que tenia desactivado) por la dirección 127.0.0.0 y lo que ejecuta es el proceso para borrar las instantáneas. El resto de acceso es de los perfiles estandar qus suelo usar. 

Además no hay intentos de acceso por fuerza bruta, ya que el cortafuegos externo lo hubiese detectado.

Mi NAS solo tenia acceso local por htttps y los puertos por defectos cambiados a unos muy altos. EL NAS estaba actualizado a su ultimo firmware, lo único que no estaba actualizado era Qsync y la de multimedia. (Pero estas dos aplicaciones al no usarlas no las tenia abiertas ni funcionando)

Solo tenia abierto al exterior myqnapcloud (porque lo usaba bastante), yo me decanto que hayan entrado por ahí, ya que de otra manera hubiesen dejado rastro.

El router solo estaba abierto al acceso por VPN por L2TP, además lo tengo configurado para que los puertos estén disponibles en ciertos horarios. Y en los logs del router no figura ningún ataque o acceso extraño. De hecho a la hora que se llevo el ataque los puertos estaban cerrados. Con lo que también descarto el acceso por vpn.

De momento es lo que he podido investigar. Si detecto algo más lo comparto por aquí.

Un saludo
Un saludo.

(QNAP TVS-663)
  Responder
#30
Hola
Gracias, es lo que me imaginaba y sospechaba. Myqnapcloud link es cómodo, pero eso de que pueda acceder más así...no me gusta.
El 127.0.0.0 es la propia nas. Todo sería de comprobar si cuando uno accede desde qnapcloud aparece con esa ip.

No hay que confundir myqnapcloud link con las ddns de myqnapcloud o el certificado ssl de myqnapcloud.
Son tres cosas distintas que a usuarios noveles puede llevara a engaño.
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny y TS-453Be)
  Responder




Usuarios navegando en este tema: 1 invitado(s)