25-04-2021, 04:47 PM
(Este mensaje fue modificado por última vez en: 25-04-2021, 04:56 PM por Sphera.)
Esto es lo que me han respondido del servicio tecnico de QNAP:
El equipo de Asistencia técnica de QNAP ha actualizado la solicitud de asistencia. Para consultar esta solicitud, vaya al Portal del cliente de QNAP A continuación se muestra una vista previa de la solicitud actualizada
@@
Estimado cliente,
Muchas gracias por ponerse en contacto con el equipo de soporte de QNAP.
Le pedimos disculpas por todas las molestias ocasionadas.
Creemos que el ataque está relacionado con CVE-2020-36195 y CVE-2021-28799
https://www.qnap.com/en/security-advisory/qsa-21-11
https://www.qnap.com/en/security-advisory/qsa-21-13
Por lo tanto, recomendamos encarecidamente actualizar Multimedia Console, HBS3 and Media Streaming Add-on a la última versión.También es cambiar el puerto web predeterminado 8080 a uno menos común (y no reinicie ni apague el NAS).
También hemos lanzado una actualización de Malware remover, que escaneara el ataque y recuperará la clave de cifrado si el cifrado aún está en curso.
Si ya había apagado / reiniciado el NAS o el proceso de cifrado ha concluido, lamentablemente, en este momento no tenemos una solución para obtener la clave de descifrado. Por lo que los datos sólo serán recuperables, si previamente había hecho una copia de seguridad de los mismos en una ubicación externa.
Si descubre que el cifrado aún está en curso (NO DEBE reiniciar ni apagar el NAS), siga estos pasos a continuación para obtener la clave de cifrado, mientras el proceso aún se está ejecutando.
Método 1
Instale Malware Remover desde el APP center y ejecútelo manualmente;Conéctese al NAS via SSHUse el siguiente comando para verificar si el proceso de cifrado está en curso.
cp `getcfg MalwareRemover Install_Path -f /etc/config/qpkg.conf`/7z.log /share/Public
Si el comando devuelve ‘No such file or directory’ significa que el NAS se ha reiniciado o que el proceso de cifrado ha finalizado, si ese es el caso, lamentablemente no hay nada que podamos hacer en este momento para ayudarle;Si el comando se ha ejecutado correctamente, podrá ver un archivo llamado “7z.log” en la carpeta “Public” , que incluirá la contraseña;La contraseña se mostrará de la siguiente forma:
a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [RUTA A LA CARPETA]
mFyBIvp55M46kSxxxxxYv4EIhx7rlTD es la contraseña
Puede reiniciar el NAS y usar la contraseña para descifrar los archivos;Si no sabe cómo leer la contraseña, envíeme el archivo “7z.log” que encuentre en la carpeta”Public” e intentaré proporcionarle la contraseña. En caso de que el archivo no exista, quiere decir que no hemos podido obtener la contraseña
Método
Conéctese al NAS via SSH;Utilice el siguiente comando para averiguar si el ransomware todavía está en curso..
ps | grep 7z
Si el comando devuelve el proceso, significa que el NAS se ha reiniciado o que el proceso de cifrado ha finalizado, si ese es el caso, lamentablemente no hay nada que podamos hacer en este momento para ayudarle;Si 7z se está ejecutando, copie / pegue el comando a continuación y presione enter (1 línea)
cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
Espere un par de minutos para obtener la contraseña con el siguiente comando;
cat /mnt/HDA_ROOT/7z.log
La contraseña se mostrará de la siguiente forma:
a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [RUTA A LA CARPETA]
mFyBIvp55M46kSxxxxxYv4EIhx7rlTD es la contraseña
Puede reiniciar el NAS y usar la contraseña para descifrar los archivos;Si no sabe cómo leer la contraseña, envíeme el archivo “7z.log” que encuentre en la carpeta”Public” e intentaré proporcionarle la contraseña. En caso de que el archivo no exista, quiere decir que no hemos podido obtener la contraseña
Si tiene alguna duda hágamelo saber.
Un saludo
El ataque a mi equipo se produjo el martes 22 y yo no me di cuenta hasta la madrugada del miercoles, porque vi la noticia.
Cuando entre al NAS vi todo encriptado y el Malware Remover me indicaba claramente que reiniciara el equipo, y asi lo hice perdiendo la oportunidad de usar el metodo para conseguir la contraseña.
Llegados a este punto solo me queda usar el metodo de recuperación mediante Photorec, aqui hay un video al respecto:
https://www.youtube.com/watch?v=qv9mri_xHg0
Sin embargo me quedo atascado el segundo punto, montar la carpeta de windows:
sudo mount -t cifs -o user=<USERNAMEOFREMOTECOMPUTER> //XXX.XXX.XXX.XXX/<NAMEOFYOURSHARE> /mnt/rescue-share
He creado un usuario de windows especifico con contraseña en mi PC y he creado una carpeta compartida con todos los permisos para ese usuario. Me conecto usando putty al NAS mediante ssh con la cuenta admin. Pero cuando pongo esa linea siempre obtengo:
mount error: could not resolve address for NOMBREDEEQUIPO: Unknown error
He estado mirando información al respecto pero no doy con la clave y asi poder intentar recuperar algo.
Alguna idea de porque no encuentra la carpeta que tengo compartida en mi windows?
El equipo de Asistencia técnica de QNAP ha actualizado la solicitud de asistencia. Para consultar esta solicitud, vaya al Portal del cliente de QNAP A continuación se muestra una vista previa de la solicitud actualizada
@@Estimado cliente,
Muchas gracias por ponerse en contacto con el equipo de soporte de QNAP.
Le pedimos disculpas por todas las molestias ocasionadas.
Creemos que el ataque está relacionado con CVE-2020-36195 y CVE-2021-28799
https://www.qnap.com/en/security-advisory/qsa-21-11
https://www.qnap.com/en/security-advisory/qsa-21-13
Por lo tanto, recomendamos encarecidamente actualizar Multimedia Console, HBS3 and Media Streaming Add-on a la última versión.También es cambiar el puerto web predeterminado 8080 a uno menos común (y no reinicie ni apague el NAS).
También hemos lanzado una actualización de Malware remover, que escaneara el ataque y recuperará la clave de cifrado si el cifrado aún está en curso.
Si ya había apagado / reiniciado el NAS o el proceso de cifrado ha concluido, lamentablemente, en este momento no tenemos una solución para obtener la clave de descifrado. Por lo que los datos sólo serán recuperables, si previamente había hecho una copia de seguridad de los mismos en una ubicación externa.
Si descubre que el cifrado aún está en curso (NO DEBE reiniciar ni apagar el NAS), siga estos pasos a continuación para obtener la clave de cifrado, mientras el proceso aún se está ejecutando.
Método 1
Instale Malware Remover desde el APP center y ejecútelo manualmente;Conéctese al NAS via SSHUse el siguiente comando para verificar si el proceso de cifrado está en curso.
cp `getcfg MalwareRemover Install_Path -f /etc/config/qpkg.conf`/7z.log /share/Public
Si el comando devuelve ‘No such file or directory’ significa que el NAS se ha reiniciado o que el proceso de cifrado ha finalizado, si ese es el caso, lamentablemente no hay nada que podamos hacer en este momento para ayudarle;Si el comando se ha ejecutado correctamente, podrá ver un archivo llamado “7z.log” en la carpeta “Public” , que incluirá la contraseña;La contraseña se mostrará de la siguiente forma:
a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [RUTA A LA CARPETA]
mFyBIvp55M46kSxxxxxYv4EIhx7rlTD es la contraseña
Puede reiniciar el NAS y usar la contraseña para descifrar los archivos;Si no sabe cómo leer la contraseña, envíeme el archivo “7z.log” que encuentre en la carpeta”Public” e intentaré proporcionarle la contraseña. En caso de que el archivo no exista, quiere decir que no hemos podido obtener la contraseña
Método
Conéctese al NAS via SSH;Utilice el siguiente comando para averiguar si el ransomware todavía está en curso..
ps | grep 7z
Si el comando devuelve el proceso, significa que el NAS se ha reiniciado o que el proceso de cifrado ha finalizado, si ese es el caso, lamentablemente no hay nada que podamos hacer en este momento para ayudarle;Si 7z se está ejecutando, copie / pegue el comando a continuación y presione enter (1 línea)
cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
Espere un par de minutos para obtener la contraseña con el siguiente comando;
cat /mnt/HDA_ROOT/7z.log
La contraseña se mostrará de la siguiente forma:
a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [RUTA A LA CARPETA]
mFyBIvp55M46kSxxxxxYv4EIhx7rlTD es la contraseña
Puede reiniciar el NAS y usar la contraseña para descifrar los archivos;Si no sabe cómo leer la contraseña, envíeme el archivo “7z.log” que encuentre en la carpeta”Public” e intentaré proporcionarle la contraseña. En caso de que el archivo no exista, quiere decir que no hemos podido obtener la contraseña
Si tiene alguna duda hágamelo saber.
Un saludo
El ataque a mi equipo se produjo el martes 22 y yo no me di cuenta hasta la madrugada del miercoles, porque vi la noticia.
Cuando entre al NAS vi todo encriptado y el Malware Remover me indicaba claramente que reiniciara el equipo, y asi lo hice perdiendo la oportunidad de usar el metodo para conseguir la contraseña.
Llegados a este punto solo me queda usar el metodo de recuperación mediante Photorec, aqui hay un video al respecto:
https://www.youtube.com/watch?v=qv9mri_xHg0
Sin embargo me quedo atascado el segundo punto, montar la carpeta de windows:
sudo mount -t cifs -o user=<USERNAMEOFREMOTECOMPUTER> //XXX.XXX.XXX.XXX/<NAMEOFYOURSHARE> /mnt/rescue-share
He creado un usuario de windows especifico con contraseña en mi PC y he creado una carpeta compartida con todos los permisos para ese usuario. Me conecto usando putty al NAS mediante ssh con la cuenta admin. Pero cuando pongo esa linea siempre obtengo:
mount error: could not resolve address for NOMBREDEEQUIPO: Unknown error
He estado mirando información al respecto pero no doy con la clave y asi poder intentar recuperar algo.
Alguna idea de porque no encuentra la carpeta que tengo compartida en mi windows?