QNAP NAS内ファイルが暗号7zipにされる!ランサム
追加4/23 NASをシャットダウンしないでください。7z.log消失防ぐ
.7z 拡張子 は、圧縮解凍ソフト 7zip で圧縮されたファイルです。
パスワードで暗号化できる。Qlocker ランサムウェアで悪用され AES 256暗号化(突破無理) されています。
外出先からのリモートアクセスにQNAPを使っているケース
Qlocker ランサムウェア
NAS内ファイルを暗号7zipにしてしまう。(7zipとは、lzh や zip 同様の圧縮ファイル)
日本時間で4月21日から世界中で発生、QNAPの脆弱性を利用している。修正パッチ→次ページ(解凍できる訳ではない)
パスワードがかかった7zip圧縮ファイル
で、!!! READ_ME.txt の身代金要求メモを残す。
指定のサイトへ行きクライアントキーを入れろ!
!!! All your files have been encrypted !!! 訳:すべてのファイルが暗号化されています
All your files were encrypted using a private and unique key generated for the computer. This key is stored in our server and the only way to receive your key and decrypt your files is making a Bitcoin payment.
To purchase your key and decrypt your files,please follow these steps:
- Download the Tor Browser at ”https://www.torproject.org/” . If you need help, Please Google for “access onion page”
- Visit the following pages with the Tor Browser:
*********************************************************- Enter your Client Key:
************************************
Tor Browserとは?
ウェブブラウザであり、匿名化ネットワークTorを経由してインターネットへ接続し通常のウェブサイトおよび.onionドメインのウェブサイトを閲覧することができる。
そのサイトへ行くと、パスワードを入手するには、0.01ビットコインを払え!と要求される。送金を追跡するからトランザクションIDを送信しろ
今日のビットコイン
解凍するには暗号キー(パスワード)を入れるしかない・・・※現在のところ 変更
追加情報:シャットダウンしていなければ 7z.log 内にパスワードを発見できる。
その後:すべてのファイルの解凍作業をすることに・・。解凍にはソフト 7-Zip が必要です。
次のコマンドを試してください:
cd / usr / local / sbin; printf ‘#!/ bin / sh \ neocho $ @ \ neocho $ @ >> / mnt / HDA_ROOT / 7z.log \ nsleep 60000’> 7z.sh; chmod + x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
暗号化キーは/mnt/HDA_ROOT/7z.logに保存され、これを使用して復号化できます
追加情報 4/27
https://www.bleepingcomputer.com/forums/t/749654/qlocker-full-guide-how-to-get-your-data-back-qnap-nas-hack //
IV)ハッカー
に支払う私はあなたに支払わないことを強くお勧めします。そのルートで行った多くの人々ファイルを復号化するための正しいキーを取得できませんでした。
これは、他のハッカーが支払いフォームをいじっていることが原因である可能性がありますが、詳細はわかりません。
ビットコインを支払った後、TxIDをフォームに貼り付けると非常に高速であると言われています。
フォームが現在異常動作している。当初正常な時はトランザクションIDを送信したらすぐにパスワード表示されていた。パスワード表示ビジー状態。
◆!!トランザクションID泥棒が出現しているようです。同じ被害者のはずが・・・
泥棒の別クライアントキーに紐付けされて支払いに使われてしまう。使用済みにされる。
結果的にトランザクションIDを使うことに決めた場合、取得したらすぐフォームに!
知られているウォレットアドレス(少なくとも20個)は監視できてしまう。ハッカーが新しいウォレットアドレスにする必要はあるだろうか それでフォームが不安定なのだろうか
0.01ビットコインにしなければ目立たないかもしれない
QNAPのアナウンス:
nasが7zでファイルを暗号化していることがわかった場合はどうすればよいですか?
NASをすでにシャットダウン/再起動した場合、または暗号化が完了している場合は、残念ながら、まだ解決策はありません。
QNAPの脆弱性を修正し予防する 次ページ
これに感染しました!どうすれば良いでしょうか涙
スナップショットも取ってなかったので戻せません涙涙
慌てて支払わないように、何らかの解決策を期待してしばらく・・
ここに世界の情報が集まってきています何か進展は・・
BleepingComputer Qlocker support topic
昨日暗号化されてしまいました。PCは一部ですがNASが全滅です。重要ファイルが多数ありましたので問題です。仕事になりません。仕事の全機能がストップしてしましました。
どうしよう。
当方も個人ですが、QNAP-NAS上のドキュメントのデータ等ををやられました。
幸い、やられる前日にメールバックアップを別PCに取得していたのが不幸中の幸いでした。
気づくのが遅かった&スナップショットは単発だったので、スナップショットも暗号化されています。
大容量の動画ファイル等は試行した痕跡がありましたが暗号化は出来なかったようです。
いつも起動するメールがおかしかったので、確認したところ、22日の0:30頃から活動されていました。
どうも、ネット経由でadminパスワードを破られて入られた感じです。
アクセスログ見ていますが、未だログイン試行はしているようです。
パスワード変更し、ログイン失敗すると一定期間入れないようにしているので、暫くは問題ないとおもいます。
念のため、ログを監視し、外出時はネットワークから切断します。
ビットコイン支払う気は基本的には無いので、殆ど削除しました。
現在、HDDにデータを退避させています。
その後、何等か対策を行ってからNAS再構築します。
自宅内、外構の監視カメラとして使用していますが、その機能はしばらくお預けです。
Qlockerランサムウェア攻撃への対応:QNAPNASを保護するためのアクションを実行します
7z.log 内にパスワードを発見できる。
但し、NASをシャットダウンしたら7z.logは消えてしまう。
7z.logはどこに格納されていますか?
NASシャットダウンしてない。
コマンドも流してみた。
けど7z.logが無い。。。もうオワタかも
ここのフォーラムを注視しましょう。何か進展があるかもしれません
A ransomware gang made $260,000 in 5 days using the 7zip utility
7zのパスワード解析できる有償サービスがあるようです。
単純版→NG
複雑$29版→NG
ブルートフォース版を利用する場合はマスク情報(パスワードの性質、特性)が必要の様です。
https://www.lostmypass.com/ja/price/
パスワードの性質など情報どこかにないですかね?
大文字、小文字、数字の3種で32文字。
2,272,657,884,496,751,500,000,000,000,000,000,000,000,000,000,000,000,000,000 とおり
上記サイトのパワーでは、8文字でも16年・・
1ページ目、リンク情報追加。