看板 Storage_Zone 關於我們 聯絡資訊
作者money0922 (孤音)
看板Storage_Zone
標題Re: [情報] QNAP NAS遭勒索軟體盯上
時間Thu Apr 22 16:00:41 2021
※ 引述《banman (班曼沃爾)》之銘言: : 大家 : 那個不幸的,這次我的QNAP中勒索了。 : 4/21 下午四點多中招,今天早上才發現 : 整個NAS裡面低於20MB的檔案都被鎖定成.7z的壓縮檔。 : 並且該目錄下有個 !!!READ_ME.txt 文字檔 : 裡面有付贖金的方式跟要提供的金鑰 : (我早上已有回報QNAP的支援需求單,還在等待) : (看網路上的內容,贖金是0.01比特幣) : 目前還沒有什麼中文的網站有報導。 : 可以參考 : QNAP論壇的用戶回饋裡面的這篇。 : https://forum.qnap.com/viewtopic.php?f=45&t=160849 : 或是下面這篇這個網址 : 標題是: : Massive Qlocker ransomware attack uses 7zip to encrypt QNAP devices : (抱歉,沒有縮網址) : https://www.bleepingcomputer.com/news/security/massive-qlocker-ransomware- : attack-uses-7zip-to-encrypt-qnap-devices/ : ↑這裡面好像說有找到破解勒索的金鑰方法了,但今天晚上10點前才會提供。 : (美東時間10am) : 曾經我以為有設定快照,就沒什麼問題了。 : 但這次中招後,我想要恢復快照時,卻發現我的快照儲存也被清零了。 : 所以 我之後除了原本NAS裡面放快照之外,也會在外部儲存那邊放快照備份 : 希望大家的QNAP NAS在這波 沒有中。 : 也希望大家可以多提供 如何可以降低中獎的方法。 : (我之前都沒注意,沒像那些文章內的把一些關掉或刪掉) https://www.facebook.com/groups/nas.tw/permalink/10159342585353245/ 有高手已經放出破解教學,中獎的災民參考看看。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 223.136.127.165 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Storage_Zone/M.1619078442.A.0FC.html
banman : 我的是已經被跑完所有壓縮了,所以只能等美東10am 04/22 16:04
bitlife : 看了這個解法,感覺NAS廠商應該做一件事,修正所有可 04/22 16:15
bitlife : 能的壓縮命令的原始碼,只允許壓工作用暫存檔之類 04/22 16:16
maniaque : 不算破解,只是趁著勒索指令正在壓縮時,偷撈密碼出來 04/22 16:43
maniaque : 所以重開機 跟 已經全壓縮結束 ,就直接放棄攔胡 04/22 16:44
ivanyeh : 我的也中了,我直接關機了,才看到這一篇 04/22 17:39
sqr : i大能分享一下平常使用是怎麼連外嗎? 04/22 18:13
B0988698088 : 駭客下次直接加密砍檔就好了 講修正壓縮命令的是有 04/22 20:09
B0988698088 : 事嗎= = 還廠商該做的事咧zzz 04/22 20:09
B0988698088 : 使用者先改掉機器直接對外跟愛用預設帳號這些爛習 04/22 20:10
B0988698088 : 慣再來嘴比較好 04/22 20:10
bitlife : 砍檔? 那就不叫勒索軟體叫撕票軟體了啊 XD 04/22 20:46
TWN48 : 呃,惡意程式自己帶加密的 code 進來就好了啊。 04/22 21:43
bitlife : 帶code有幾個問題,binary的相容性相對低,script效率 04/22 21:50
bitlife : 差, 除非作者確定所有機器都上了這種補丁,否則你無 04/22 21:51
bitlife : 聲無息的讓壓縮命令執行bypass掉,這些駭客他不清楚 04/22 21:52
bitlife : 是受害者放棄付贖金選擇重灌還是其他狀況 04/22 21:55
bitlife : 我是覺得未來可能會有NAS防毒軟體了 04/22 21:56
comipa : NAS防毒都有幾年了... 04/22 22:09
flypenguin : 咦,不是該從怎麼防止惡意登入做起嗎? 04/22 22:46
flypenguin : 連得進來怎麼鎖都能惡搞吧,除非你要檔案全部唯讀。 04/22 22:46
bitlife : f大你說的是治本,我講的是第一時間治標. 治本方案通 04/22 23:01
bitlife : 常需要較久時間,治標就比較快,第一時間暫時避免檔案 04/22 23:02
bitlife : 被加密而以,不是治本方法. 04/22 23:02
sheging : 我也中了 希望有解毒法XD 04/23 01:45
lwrwang : 我也中了,不過有撈到密碼 04/23 02:30
ddity : 中了 還好有離線備份 04/23 07:42
ddity : 什麼時候才能把資料復原?? 04/23 12:41
venerer : 中了...用半年前的離線備份復原中... 04/23 13:09
wliu : 建議先不要動到出事的硬碟 之後若能救也比較有機會 04/23 16:06
mypigbaby : 為什麼好像沒人檢討廠商? 去年11月就有接獲通知,直 04/24 11:39
mypigbaby : 到今年四月中才修補? 04/24 11:39
TWN48 : 沒有吧, HBS 3 這個洞是剛被找到的 0-day 04/24 13:03
TWN48 : QSA-21-13 / CVE-2021-28799 04/24 13:05
flypenguin : 不一樣的洞,只是套件一樣,謠言故意扯在一起。 04/24 14:37
MikePetrucci: 推文一直有人在亂講........超扯 04/24 17:19
lwrwang : 我有兩台,一台有中一台沒中,中的那一台有裝HBS 04/25 23:52
iceyang : 這解法和當初win平台的一樣都是趁沒關機前撈在ram裡 04/26 13:37
iceyang : 的暫存資料一樣意思? 04/26 13:37
maniaque : 差不多意思,只是加密密碼是在硬碟暫存檔內 04/26 19:58
maniaque : ram 哪有那麼好撈?? 04/26 19:58
maniaque : 某種程度上,其實就是用B漏洞去救A漏洞捅的包 04/26 19:58
maniaque : 高手知道壓縮程式有把密碼明碼寫在暫存的漏洞 04/26 19:59
maniaque : 當勒索程式執行呼叫壓縮程式開工,就從ssh 進去主機 04/26 19:59
maniaque : 從那個漏洞撈出密碼字串............好笑吧.... 04/26 20:00
TWN48 : 欸不是這樣的。原本的 7z 並沒有把密碼寫在暫存檔。 04/26 23:17
TWN48 : 那篇撈密碼的做法是做一個取代原本 7z 的 script, 04/26 23:18
TWN48 : 裡面把命令列拿到的密碼寫到檔案裡。 04/26 23:18
wenjie0810 : 謠言?幾乎各家都這樣寫欸 04/27 00:32
wenjie0810 : https://reurl.cc/Q7q8GM 04/27 00:32
TWN48 : 上面這篇講的是 QSA-21-05 / CVE-2020-2509 和 04/27 01:00
TWN48 : QSA-21-11 / CVE-2020-36195。 04/27 01:00
TWN48 : 四月接連修正了三個洞,兩個舊的一個新的。 04/27 01:02
flypenguin : 那兩個洞 QTS 4.5.1.1495 Build 20201123 就修正了 04/27 02:04
flypenguin : 不過究竟是洞沒補好,還是補了出現更多洞。 04/27 02:08
flypenguin : 應該只有 QNAP 自己知道 (遠目) 04/27 02:08
wayne1120 : 推一個 04/27 19:42
flypenguin : 官方 FB 發說明了 0.0 04/28 20:53