Qnap Ransomware
#1
Exclamation 
Buenos días,

En las últimas horas, por redes sociales estoy viendo que más de uno le esta pasando el mismo caso, dejo enlaces:

https://nationalcybersecuritynews.today/...areattack/


Una de las carpetas que tengo en mi nas, parece haber sido infectada por este ransomware, por suerte el resto no (he apagado el NAS de inmediato y desconectado de la red).
Tengo copias de seguridad semanales y por suerte recupero esos datos con facilidad de esa carpeta en concreto. Pero hay otras carpetas (De momento, intactas) donde necesito recuperar los archivos.


Para ello, quiero realizar una copia en discos duros externos de esas carpetas y resetear el qnap por completo para evitar cualquier problema. Mi duda es:

Si enchufo el Qnap con la red desconectada ¿Podré realizar la copia tranquilamente sin que el ransomware este operativo?. ¿O que solución me recomendáis?

Gracias.
  Responder
#2
Hola

Este mensaje sería mas adecuado en "cuestiones técnicas" mas que en "empezando con tu nas" Wink

Antes de nada hay que saber como te ha entrado el "cifrador".
Cuentas que una de tus carpetas es la afectada. Doy por hecho que es una carpeta compartida (me corriges si no lo es).
Si esto es así, el equipo que está haciendo el cifrado NO es tu nas, es un equipo infectado que está accediendo a lo compartido por tu nas.
Hay que asegurarse de esto, ya que en el hipotético caso de recuperar tu nas al estado inicial, cuando la conectas a tu red de nuevo, ese equipo externo que la vuelve a liar.

Lo que hay que hacer es detener (apagar) y aislar de red a TODOS los equipos de tu red. Hay que mirar uno a uno para ver quien es el "contagiador"  Wink

Continuemos con la NAS.
Si la tienes aislada y con ip estática, has de conectarte con ella con cable de forma directa con un equipo que esté limpio y con ip del mismo rango.
La inicias y accedes a la nas por navegador. 

Si tuvieses activadas las instantáneas, recuperas a una anterior.
Por eso es muy importante tener activadas las instantáneas, ayer mismo lo comentaba Adrián Groba de QNAP en una webminar.
Es nuestra primera protección frente a ramsonware. 
Recomiendo hacer una automática poco antes del inicio de la jornada y mantener al menos las 5 últimas.

Si no las tuvieses activadas, has de recurrir a copias de seguridad que tendrás offline ( en un cajón y desconectadas ).
Una vez recuperada la nas, NO la vas a conectar a tu red hasta que no te asegures de que el resto de equipo NO tienen nada malo.
Si lo haces corres el peligro de que nuevamente el "infiltrado" en tu red te la vuelva a fastidiar.

Es muy raro que sea la nas la que inicie la infección. Ya que sus sistema no suele (y no debe) estar expuesto a internet. 
Esto es superimportante, sólo hemos de dejar accesible a internet lo mínimo, necesario y siempre usando puerto seguros con ssl. 

Una cosa que nos la suele liar es la activación de uPnp, que abre puertos de forma automática y no llevamos control de cuales son.

En general el ramsonware no se instala en los equipos a no ser que ejecutemos o accedamos a alguna web dañina, ha de infectar un equipo para poder hacerlo.
Tengo claro que en tu red la nas está para compartir datos, y es eso lo que ha sido afectado.

Ahora te toca revisar el resto de equipos de tu red para limpiarlos por si tuviesen en el arranque al ramsonware.
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Responder
#3
(21-04-2021, 12:30 PM)Hola de nuevo!Ganekogorta escribió: Hola

Este mensaje sería mas adecuado en "cuestiones técnicas" mas que en "empezando con tu nas" Wink

Las prisas al final no me dio a pensar  Big Grin Big Grin Disculpad!

Antes de nada hay que saber como te ha entrado el "cifrador".
Cuentas que una de tus carpetas es la afectada. Doy por hecho que es una carpeta compartida (me corriges si no lo es).
Si esto es así, el equipo que está haciendo el cifrado NO es tu nas, es un equipo infectado que está accediendo a lo compartido por tu nas.

Se que es precipitado decir que es el propio nas, pero tal como comentas, he revisado el resto de equipos, sobre todo, de la única carpeta infectada donde tenia 2 usuarios concretos con permisos de escritura. Están limpios al igual que el resto. La razón por la que comento que parece ser que pueda ser debido a algún fallo de seguridad de alguno de los servicios de qnap (Myqnapcloud, etc), es por el enlace publicado anteriormente. Justamente, en el día de hoy a varios usados les ha pasado el mismo problema, y de ahí viene las sospechas de que no es un ransomware común que infecte a un pc como tal.

https://www.bleepingcomputer.com/forums/...ension-7z/



Por suerte tengo todos los datos a salvo así que por esa parte no tengo problema. Pero os iré comentando si encuentro alguna novedad.
Gracias!
  Responder
#4
Hola

Vale, me alegra que tengas controlada tu red.

Si te es posible activa las instantáneas en las nas, es de lo mejor para estos casos.

Si no necesitas myqnapcloud...desactívalo.

Siempre puedes activar otra dirección con otro ddns con DuckDNS, no-ip, dyndns...
Si tienes myqnapcloud para accesos externos te recomiendo usar una vpn (activa el servidor de OpenVPN por ejemplo en la nas)
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Responder
#5
Hola... Otro caso.

Aparentemente, no se ha infectado ningún PC y desde allí no debe haber entrado el "cifrador". Por contra, en el NAS se han cifrado unos cuantos archivos hasta que me he dado cuenta y lo he desconectado. Nosotros si que empleamos Myqnapcloud...

Caso abierto en soporte y esperando a ver si hay solución.

Saludos a todos...
  Responder
#6
(21-04-2021, 04:28 PM)Oficina escribió: Hola... Otro caso.

Aparentemente, no se ha infectado ningún PC y desde allí no debe haber entrado el "cifrador". Por contra, en el NAS se han cifrado unos cuantos archivos hasta que me he dado cuenta y lo he desconectado. Nosotros si que empleamos Myqnapcloud...

Caso abierto en soporte y esperando a ver si hay solución.

Saludos a todos...

Según comentan, Qlocker es el nombre asignado al ransomware que aparece en los "!!! READ ME.txt".
Habrá que estar alerta a novedades
  Responder
#7
Hola
Lo importante, además de recuperar la nas al estado inicial, es ver por donde ha venido el bicho para corregirlo.

Si es por una vulnerabilidad de QTS, qnap debería decirlo para no dejar accesibles las nas y sacar una nueva versión de firmware que lo corrija.

Adjunto una imagen de recomendaciones de un proveedor y de Qnap
[Imagen: df81e1aa8321f9cbf5ef5cd3efdf7bdf.jpg]
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Responder
#8
Buenas, os dejo info del twitter de QNAP: https://twitter.com/QNAPEspana/status/13...8991011840

Además indicar que, si os ha entrado a alguno podéis intentar:

1. Do NOT REBOOt NAS , you can pass all steps if you already did
2. Connect nas over ssh
3. Use the command below to find if ransomware is in progress.
ps | grep 7z
4. If 7z is running, run command bellow
cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
5. Wait couple minutes use cat to grep encrypt key
cat /mnt/HDA_ROOT/7z.log
Looks like bellow
a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [FOLDER PATH]
mFyBIvp55M46kSxxxxxYv4EIhx7rlTD is decrypt password
6. Reboot nas and use mFyBIvp55M46kSxxxxxYv4EIhx7rlTD decrypt your files

Si lo veis complicado abrir un ticket desde service.qnap.com

Saludos!!
  Responder
#9
Buenas tardes,

Me temo que aquí hay otro infectado... Entiendo por lo que leo por ahí que no es cosa de un adjunto a un e-mail abierto o de un acceso a una web sino que entra él solito aprovechando alguna vulnerabilidad de QTS... ¿no? En mi caso el único que accede al NAS soy yo, con mi portátil y según las herramientas de W10 está limpito y no tengo nada encriptado en él.

En fin... 7 Tb de películas y series a la basura, entre otras cosas, porque claro, ni instantáneas ni copias de seguridad externas. No me peguéis la bronca que ya me la pego yo solito. Por suerte, justo ahora estaba empezando a utilizarlo para temas de trabajo y no había gran cosa (y de eso si que tengo copia).

Una pregunta... ¿se sabe si sólo encripta los datos? o ¿también los roba?

Solo quería dejar constancia de que también me había pasado e imagino que tenemos que ser muchos. En cuanto pueda llevaré al pequeñín a mi informático de cabecera para que lo deje bien limpito y listo, porque no creo que yo sea capaz de hacerlo, sólo de leer lo que ha puesto DonPeter ya me dan escalofríos.

Como entiendo que la cosa con mi NAS empezará de cero... ¿Algún tutorial completo sobre temas de seguridad a la hora de comenzar?

De todas formas, seguiré atento a las noticias sobre el tema.

Gracias
  Responder
#10
(22-04-2021, 08:49 PM)Tachu escribió: Buenas tardes,

Me temo que aquí hay otro infectado... Entiendo por lo que leo por ahí que no es cosa de un adjunto a un e-mail abierto o de un acceso a una web sino que entra él solito aprovechando alguna vulnerabilidad de QTS... ¿no? En mi caso el único que accede al NAS soy yo, con mi portátil y según las herramientas de W10 está limpito y no tengo nada encriptado en él.

En fin... 7 Tb de películas y series a la basura, entre otras cosas, porque claro, ni instantáneas ni copias de seguridad externas. No me peguéis la bronca que ya me la pego yo solito. Por suerte, justo ahora estaba empezando a utilizarlo para temas de trabajo y no había gran cosa (y de eso si que tengo copia).

Una pregunta... ¿se sabe si sólo encripta los datos? o ¿también los roba?

Solo quería dejar constancia de que también me había pasado e imagino que tenemos que ser muchos. En cuanto pueda llevaré al pequeñín a mi informático de cabecera para que lo deje bien limpito y listo, porque no creo que yo sea capaz de hacerlo, sólo de leer lo que ha puesto DonPeter ya me dan escalofríos.

Como entiendo que la cosa con mi NAS empezará de cero... ¿Algún tutorial completo sobre temas de seguridad a la hora de comenzar?

De todas formas, seguiré atento a las noticias sobre el tema.

Gracias

Hola!, sobre el tutorial el último del canal de youtube de QNAP:
https://youtu.be/6CskuvHUFjc

Saludos.
  Responder




Usuarios navegando en este tema: 1 invitado(s)