Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

🗞️

Ataque en curso del ramsomware Qlocker cifrando archivos de NAS Qnap

Josh
3

En las últimas horas usuarios de NAS de la marca QNAP están reportando lo que parece un ataque de ramsomware en curso que utiliza alguna vulnerabilidad para hacerse con el control de los equipos y cifrar los archivos almacenados para a continuación pedir una transferencia de criptomonedas para obtener la clave de descifrado.

Ramsomware QNAP NAS

Las primeras noticias del ataque se iniciaron el 19 de abril. El software malicioso se llama Qlocker y cifra los archivos con 7zip. Una vez concluye el cifrado deja un fichero de texto !!!READ_ME.txt con las instrucciones para pagar el rescate accediendo a un dominio onion de la web TOR. Allí se pide la clave de cliente que aparece en el fichero de texto para a continuación mostrar una dirección a la que deben transferirse 0,01 BTC, que al cambio actual son unos 450 €.

!!! All your files have been encrypted !!!
 
All your files were encrypted using a private and unique key generated for the computer. This key is stored in our server and the only way to receive your key and decrypt your files is making a Bitcoin payment.
 
To purchase your key and decrypt your files, please follow these steps:
 
1. Dowload the Tor Browser at "https://www.torproject.org/". If you need help, please Google for "access onion page".
 
2. Visit the following pages with the Tor Browser:
 
gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion
 
3. Enter your Client Key:
 
[client_key]

El ataque podría explotar dos recientes vulnerabilidades que llevan meses notificadas al fabricante y que solo ha publicado actualizaciones una vez se han hecho públicas.

bleepingcomputer.com/forums/t/749247/qlo…extension-7z

vukits

solo ha publicado actualizaciones una vez se han hecho públicas.

vaya tela…

una razón más para no comprar Qnap .

(también es verdad que a quién se le ocurre exponer el servidor http así a pelo)

🗨️ 4
pepejil

(también es verdad que a quién se le ocurre exponer el servidor http así a pelo)

Me parece de lo más lógico que si el trasto este puede sincronizarse remotamente bajo web o una app, se exponga el servidor HTTP. Si no, vaya gracia comprarte un NAS que sólo puedes usar en casa.

Si el fabricante no asegura correctamente el software del trasto, no es ni mucho menos culpa del usuario, que sólo quiere usar una funcionalidad para la que está diseñado.

🗨️ 1
vukits

para esas cosas, tiro de VPN.

soy demasiado paranoico

rbetancor
1

¿Que esperas de este tipo de cacharros? … son todos super-overpriced y además el que más o el que menos, tiene más agujeros de seguridad que un colador.

🗨️ 1
Rocío Miranda

Te montas un mini servidor ryzen, con Linux y te sale más barato y seguro que esas cosas de QNAP que se creen apple con los precios que ponen.

manolito1998
2

Tocado y hundido. Acabo de apagar el NAS a ver si puedo recuperarlo. Según parece hay una variante en la que no encripta el 7zip.

A ver si tengo suerte, porque he comprobado antes de apagar que tenia el bicho.

Y para más info, mi NAS no tenía acceso por http.

🗨️ 5
vukits

madre mía.

¡ánimos!

PD: si estaba en formato NTFS, puedes pasarle el GetDataBack para NTFS, a ver si sale algo … (menos da una piedra)

Schezard
1

Yo he revisado unas cuantas carpetas y parece que me he librado.

Apagado y desconectado de la red hasta nuevo aviso.

¿Que nas tienes? ¿Y de cuando es tu último update se firm?

Yo lo tengo detrás del qnap cloud y no con acceso directo

AnThraxII

¿Tenías el parche que corregía los bugs?

Bramante
1

Y para más info, mi NAS no tenía acceso por http.

Si no tenías ningún servicio expuesto (File station, PhotoStation, el espantoso QNAPcloud, etc.) y el NAS detrás de un firewall, ¿cómo están entrando?


Edito:

QNAP, a lo suyo: No saben cuál es el vector de ataque. Que puede ser HBS (que yo creía parcheado desde hace unos días. Habían HARDCODEADO CREDENCIALES!!!), que si QSYNC, que Multimedia Console/addons, que si… Lo único que dan por sentado (y a saber) es que hay puertos abiertos de por medio.

Son un desastre.

Rocío Miranda

Daba por hecho que sería https, usar http a estas alturas tiene tela.

BocaDePez
BocaDePez
1

Yo llevo desde esta mañana (22/04/0/21) con dos qnap encriptados, no se por que motivo solo tengo un par de carpetas, pero no hay manera de rescatar, he pasado immunet, DrWeb, Malwarebytes y sin éxito. Cualquier ayuda sería de agradecer.

Un saludo

🗨️ 2
vukits

lo que dije arriba.

saca el disco duro, coenectalo a un PC y pasale el NTFS getdataback.

alguna cosilla podrás rescatar

el-brujo

No apagues ni reinicies el NAS si es el proceso 7z está activo todavía es posible ver la contraseña del cifrado y recuperar todos los archivos.

Los atacantes están usando el parámetro -p "7zip" y la contraseña se puede ver en texto plano.

Conéctate por SSH al Nas

Utiliza el comando

psgrep 7z

Si se está ejecutando 7z, usa el comando:

cd /usr/local/sbin; printf '#!/bin/sh necho $@necho $@>>/mnt/HDA_ROOT/7z.lognsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;

Puedes usar luego cat

cat /mnt/HDA_ROOT/7z.log

aquí está el contraseña que han usado para cifrar los ficheros:

a -mx = 0 -sdel -pXXXXXXXXXXXX [RUTA DE CARPETA]

donde XXXXXXXXXXXXX es la contraseña

Vídeo:

youtube.com/watch?v=aq_cIdY_ksQ

Si los datos del usuario están encriptados o se están encriptando, el NAS no debe apagarse. Los usuarios deben ejecutar un escaneo de malware con la última versión de Malware Remover inmediatamente y luego comunicarse con el servicio de Soporte técnico de QNAP en service.qnap.com.

qblog.es/respuesta-a-los-ataques-de-qloc…-tu-nas-qnap

ByMick
1

Jodó! Tengo un amigo que tiene Cientos de teras con un Qnap!

Si no lo han atacado todavía, Actualizándolo se soluciona?

Es por llamarle a ver si estoy a tiempo de salvarle los muebles.

🗨️ 5
vukits

Si no lo han atacado todavía, Actualizándolo se soluciona?

se soluciona haciendo copias de seguridad periódicas xD

🗨️ 2
ByMick
1

Jajajaja, sí, y se soluciona no usando Qnap

Pero… Nada, iré corriendo a verle a ver cómo está el percal. Si con la actualización se "blinda"… de lo malo, él no lo tiene expuesto a internet.

naveganteperdido
1

imagino que la mayoria de la gente el qnap es a donde hacen las copias de seguridad periodicas xD

AnThraxII
1

Yo lo tengo actualizado a la versión que en teoría no tiene el bug, aunque me ha parecido leer que hay modelos que todavía no tienen un parche.

No he tenido problemas, tampoco tenía publicado el 8080. Aunque ayer viendo esta noticia cerré toda comunicación web del NAS.

Rocío Miranda
1

Cientos de teras? pero cuantas bahías para HDD tiene ese Qnap por el amor de dios xDD

el-brujo
1

7-zip no tiene capacidad de cifrado, no "encripta" nada, sólo tiene capacidad para proteger ficheros con contraseña. Que para el caso, es lo mismo, no puedes acceder tus ficheros, aunque se podría hacer un ataque por fuerza bruta, cosa que con un cifrado, sin la llave privada no es posible.

Había un error que permitía que las víctimas cogieran una ID de transacción de Bitcoin de una persona que ya había pagado en el sitio de Qlocker Tor, pero los operadores de ransomware se dieron cuenta y lo solucionaron.

Más info:

bleepingcomputer.com/news/security/massi…qnap-devices

🗨️ 4
Rocío Miranda
2

Te has hecho un lio, 7zip sí cifra, más concretamente con los algoritmos ZipCrypto y AES-256, que son algoritmos de criptografía simétrica. Lo que tú dices de la clave privada es criptografía asimétria, algoritmos tales como RSA. No lies al personal afirmando cosas sin saber, te lo digo desde el respeto, la próxima vez repásatelo un poquito antes plis ^^

Un saludo.

🗨️ 2
el-brujo
2

Tienes toda la razón, me confundí y me equivoqué al explicarlo, me refería que 7-Zip usa cifrado simétrico, no cifrado asimétrico (llave privada), a diferencia de los ransomware habituales.

Mi intención no era precisamente liar al personal. Más bien ayudar. Pero para el caso, la explicación sigue siendo lo mismo, se podrían recuperar los ficheros cifrados por fuerza bruta, cosa que con el cifrado asimétrico no es posible (sin tener la llave privada).

🗨️ 1
Rocío Miranda

Ya imagino que no pretendías liar al personal.

Bramante
1

La puta manía de dejar el NAS abierto en la selva (VPN, VPN, VPN…) y QNAP coronándose una vez más, porque no pasa un mes en que no se descubra algún bug serio.

Ahora me estoy arrepintiendo de no haberme tirado por Synology.

Bramante
2

Acaban de liberar dos actualizaciones, una para HBS 3 (changelog) y otra para Malware Remover (changelog).

guorker
1

Después de está van a aparecer QNAPs en venta en wallapop

BocaDePez
BocaDePez

La verdad es que estos aparatejos ademas de un consumo razonable y que suelen ocupar menos espacio no aportan mucho sobre un mini server que te puedas montar, pero si es cierto que por ejempolo Synology permite crear snapshots a cualquiera que no tenga ni idea de informática, no se Qnap, para casos como este es un seguro de vida.

🗨️ 1
Bramante

QNAP también. Tiene un snapshot manager bastante decente.

AnThraxII
1

QNAP acaba de publicar otra alerta de seguridad de otro ransomware que podría afectar a QNAP: AgeLocker

Están investigando y recomiendan no publicar el NAS en internet.