QNAP NAS内ファイルが暗号7zipにされる!ランサム

追加4/23 NASをシャットダウンしないでください。7z.log消失防ぐ

.7z 拡張子  は、圧縮解凍ソフト 7zip で圧縮されたファイルです。
パスワードで暗号化できる。Qlocker ランサムウェアで悪用され AES 256暗号化(突破無理) されています。


外出先からのリモートアクセスにQNAPを使っているケース

QNAP Systems, Inc.
QNAP(Quality Network Appliance Provider) Systems, Inc.

NAS内ファイルを暗号7zipにしてしまう。(7zipとは、lzh や zip 同様の圧縮ファイル)
日本時間で4月21日から世界中で発生、QNAPの脆弱性を利用している。修正パッチ→次ページ(解凍できる訳ではない)

7zip解凍パスワードパスワードがかかった7zip圧縮ファイル

で、!!! READ_ME.txt の身代金要求メモを残す。

!!!readme
残された身代金要求メモ !!!READ_ME.txt BleepingComputer

指定のサイトへ行きクライアントキーを入れろ!

!!! All your files have been encrypted !!!  訳:すべてのファイルが暗号化されています

All your files were encrypted using a private and unique key generated for the computer. This key is stored in our server and the only way to receive your key and decrypt your files is making a Bitcoin payment.

To purchase your key and decrypt your files,please follow these steps:

  1. Download the Tor Browser at ”https://www.torproject.org/” . If you need help, Please Google for “access onion page”
  2. Visit the following pages with the Tor Browser:
    *********************************************************
  3. Enter your Client Key:
    ************************************

Tor Browserとは?
ウェブブラウザであり、匿名化ネットワークTorを経由してインターネットへ接続し通常のウェブサイトおよび.onionドメインのウェブサイトを閲覧することができる。

そのサイトへ行くと、パスワードを入手するには、0.01ビットコインを払え!と要求される。送金を追跡するからトランザクションIDを送信しろ

Qlocker
トランザクションIDとは、ある暗号資産アドレスから他の暗号資産アドレスにどのくらいのビットコインが送られたかを示す取引ID。 BleepingComputer

 

今日のビットコイン

bitcoin2021-4-22
0.01ビットコインは今、¥58100円ほど、払ってしまう!?マイニング状況|ビットコイン

 



解凍するには暗号キー(パスワード)を入れるしかない・・・※現在のところ 変更

追加情報:シャットダウンしていなければ 7z.log 内にパスワードを発見できる。

その後:すべてのファイルの解凍作業をすることに・・。解凍にはソフト 7-Zip が必要です。

7zipのパスワードを見つける
7zipのパスワードを見つける

7zipパスワード

次のコマンドを試してください:
cd / usr / local / sbin; printf ‘#!/ bin / sh \ neocho $ @ \ neocho $ @ >> / mnt / HDA_ROOT / 7z.log \ nsleep 60000’> 7z.sh; chmod + x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;

暗号化キーは/mnt/HDA_ROOT/7z.logに保存され、これを使用して復号化できます

 

追加情報 4/27

https//www.bleepingcomputer.com/forums/t/749654/qlocker-full-guide-how-to-get-your-data-back-qnap-nas-hack //

IV)ハッカー

に支払う私はあなたに支払わないことを強くお勧めします。そのルートで行った多くの人々ファイルを復号化するための正しいキーを取得できませんでした。
これは、他のハッカーが支払いフォームをいじっていることが原因である可能性がありますが、詳細はわかりません。
ビットコインを支払った後、TxIDをフォームに貼り付けると非常に高速であると言われています。

フォームが現在異常動作している。当初正常な時はトランザクションIDを送信したらすぐにパスワード表示されていた。パスワード表示ビジー状態。

◆!!トランザクションID泥棒が出現しているようです。同じ被害者のはずが・・・

泥棒の別クライアントキーに紐付けされて支払いに使われてしまう。使用済みにされる。
結果的にトランザクションIDを使うことに決めた場合、取得したらすぐフォームに!

知られているウォレットアドレス(少なくとも20個)は監視できてしまう。ハッカーが新しいウォレットアドレスにする必要はあるだろうか それでフォームが不安定なのだろうか

0.01ビットコインにしなければ目立たないかもしれない

QNAPのアナウンス:

nasが7zでファイルを暗号化していることがわかった場合はどうすればよいですか

NASをすでにシャットダウン/再起動した場合、または暗号化が完了している場合は、残念ながら、まだ解決策はありません。

QNAPからの追加情報

Qlocker攻撃からファイルを回復する方法

 

QNAPの脆弱性を修正し予防する 次ページ

*正確な情報を記載するよう努めておりますが、その完全性・最新性・正確性について保証するものではありません。

QNAP脆弱性の修正
次のページへ 

13件のコメント

  • これに感染しました!どうすれば良いでしょうか涙
    スナップショットも取ってなかったので戻せません涙涙

  • 慌てて支払わないように、何らかの解決策を期待してしばらく・・

  • ここに世界の情報が集まってきています何か進展は・・
    BleepingComputer Qlocker support topic

  • 昨日暗号化されてしまいました。PCは一部ですがNASが全滅です。重要ファイルが多数ありましたので問題です。仕事になりません。仕事の全機能がストップしてしましました。
    どうしよう。

    • 当方も個人ですが、QNAP-NAS上のドキュメントのデータ等ををやられました。
      幸い、やられる前日にメールバックアップを別PCに取得していたのが不幸中の幸いでした。

      気づくのが遅かった&スナップショットは単発だったので、スナップショットも暗号化されています。
      大容量の動画ファイル等は試行した痕跡がありましたが暗号化は出来なかったようです。

      いつも起動するメールがおかしかったので、確認したところ、22日の0:30頃から活動されていました。
      どうも、ネット経由でadminパスワードを破られて入られた感じです。
      アクセスログ見ていますが、未だログイン試行はしているようです。
      パスワード変更し、ログイン失敗すると一定期間入れないようにしているので、暫くは問題ないとおもいます。
      念のため、ログを監視し、外出時はネットワークから切断します。
      ビットコイン支払う気は基本的には無いので、殆ど削除しました。

      現在、HDDにデータを退避させています。
      その後、何等か対策を行ってからNAS再構築します。

      自宅内、外構の監視カメラとして使用していますが、その機能はしばらくお預けです。

  • Qlockerランサムウェア攻撃への対応:QNAPNASを保護するためのアクションを実行します

  • 7z.log 内にパスワードを発見できる。
    但し、NASをシャットダウンしたら7z.logは消えてしまう。

  • 7z.logはどこに格納されていますか?

  • NASシャットダウンしてない。
    コマンドも流してみた。
    けど7z.logが無い。。。もうオワタかも

  • ここのフォーラムを注視しましょう。何か進展があるかもしれません
    A ransomware gang made $260,000 in 5 days using the 7zip utility

  • 7zのパスワード解析できる有償サービスがあるようです。
    単純版→NG
    複雑$29版→NG
    ブルートフォース版を利用する場合はマスク情報(パスワードの性質、特性)が必要の様です。
    https://www.lostmypass.com/ja/price/

    パスワードの性質など情報どこかにないですかね?

  • 大文字、小文字、数字の3種で32文字。
    2,272,657,884,496,751,500,000,000,000,000,000,000,000,000,000,000,000,000,000 とおり
    上記サイトのパワーでは、8文字でも16年・・

  • 1ページ目、リンク情報追加。

コメントを残す

外部送信プログラム名:Amazonアソシエイトプログラム-送信先の会社名:アマゾンジャパン合同会社、Rakuten -アソシエイトパートナーの利用目的:閲覧の傾向や履歴の分析のため、広告効果の分析のため-送信する情報の内容:閲覧した内容についての情報-送信先の利用目的:自社の広告宣伝を目的とした広告情報の掲載のため、ウェブサイトやアプリの監視のため。/ Google がCookie を使用して、ユーザーがそのウェブサイトや他のウェブサイトに過去にアクセスした際の情報に基づいて広告を配信しています。

Amazon プライム対象