Attenzione a Qlocker! Il ransomware che attacca i NAS QNAP e usa 7-zip per bloccare i file

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/sicure...ile_97217.html

Da qualche giorno è attiva una campagna ransomware che prende di mira i dispositivi QNAP e sfrutta 7-zip per creare archivi di file protetti da password

Click sul link per visualizzare la notizia.

[Cfranco]

Tutto questo è possibile solo grazie alle criptovalute

[wobbly]

Sì, purtroppo è indirettamente colpa delle cripto valute che oltre alla pazzia del mining (ossia il consumo di energia elettrica e conseguente inquindamento) ha permesso ai malviventi di incassare denaro senza farsi rintracciare in maniera facile.
Ad ogni modo nel caso specifico il problema si pone per chi ha esposto su Internet il proprio NAS Qnap non aggiornato.

[radeon_snorky]

Quote:

Originariamente inviato da wobbly

Sì, purtroppo è indirettamente colpa delle cripto valute che oltre alla pazzia del mining (ossia il consumo di energia elettrica e conseguente inquindamento) ha permesso ai malviventi di incassare denaro senza farsi rintracciare in maniera facile.
Ad ogni modo nel caso specifico il problema si pone per chi ha esposto su Internet il proprio NAS Qnap non aggiornato.

in ufficio dove collaboro hanno un Qnap... inutile dire che se lo sono preso! "fortuna" che ero via e che tutti i dati di cui ho bisogno al momento sono ancora nella memoria degli strumenti che uso per topografia... certo che è una bella sfiga! ho anche detto al mio collega, che si è interfacciato con il loro "sistemista"..... gli ho detto: "ma se la persona che deve mantenere l'efficienza della rete interna, che ti ha consigliato un inutile firewall, che ti ha fatto comprare il qnap e che ti ha fatto tenere un server http acceso 2 anni senza configurarti correttamente il sito web.... se non è in grado di configurarti il nas per gli aggiornamenti.... che ci sta a fare!?!?!?!?!!?!"

speriamo che riescano a trovare velocemente una chiave per poter generare autonomamente la password...

certo che 400 e rotti euro non sono molti.... ma che palle!

[baruk]

Quattro QNAP in ufficio. Tre sotto controllo mio e uno di un mio collega. Inutile dire che io aggiorno costantemente il firmware e le app e lui no. Comunque credo che sia o una questione di dare l'accesso via l'ssh (cosa che disabilito di default) o usare la app per un CMS. A noi un anno fa (e siamo protetti da tecnici e strumentazioni CNR-IIT), ci arrivó un comunicato della Polizia Postale che segnalava attacchi (riusciti) su vecchi NAS LaCie, che venivano usati poi per il mining minimo.

[Axios2006]

Quote:

Originariamente inviato da Cfranco

Tutto questo è possibile solo grazie alle criptovalute

Quote:

Originariamente inviato da wobbly

Sì, purtroppo è indirettamente colpa delle cripto valute che oltre alla pazzia del mining (ossia il consumo di energia elettrica e conseguente inquindamento) ha permesso ai malviventi di incassare denaro senza farsi rintracciare in maniera facile.
Ad ogni modo nel caso specifico il problema si pone per chi ha esposto su Internet il proprio NAS Qnap non aggiornato.

Eh... purtroppo chi difende le criptovalute non vuole accettare che i ransomware sono nati grazie alle criptovalute...

Poi il pozzo senza fondo di elettricita', gpu ed hardware in generale per fuffa ad elevata volatilita' che se si perde l'accesso al wallet...

[TecnoPC]

Non capisco questa ossessione connettere tutto alla rete internet.
Da noi il Qnap è accessibile solo via LAN dell’ufficio, per tutto il resto c’è il cloud.

[baruk]

Quote:

Originariamente inviato da TecnoPC

Non capisco questa ossessione connettere tutto alla rete internet.
Da noi il Qnap è accessibile solo via LAN dell’ufficio, per tutto il resto c’è il cloud.

Problema di smart working. Da noi le amministrative sono al 70% a lavorare in remoto, e quindi hanno bisogno di accedere da casa.

[canislupus]

Quote:

Originariamente inviato da baruk

Problema di smart working. Da noi le amministrative sono al 70% a lavorare in remoto, e quindi hanno bisogno di accedere da casa.

Mettere su una vpn e accedere in locale al qnap è tanto brutto?

[sminatore]

Nessun sostenitore delle cripto nega che questo genere di attacchi sia nato proprio con le valute digitali, ma condannare una tecnologia perché può essere sfruttata anche per scopi malevoli... Bah.
Basterebbe condannare i metodi di riciclaggio cripto, ma capisco che chi ha poca conoscenza dell argomento preferisce farla semplice rimuovendo il problema in toto; mio nonno ha la stessa opinione di Internet.
Per essere coerenti però condannate qualsiasi altra tecnologia e tornate pure all epoca pre rinascimentale

[baruk]

Quote:

Originariamente inviato da canislupus

Mettere su una vpn e accedere in locale al qnap è tanto brutto?

Non gestiamo noi la parte di networking e in questo periodo ci sono dei ritardi e altri problemi. Posso assicurare che il problema sia l'abilitazione o meno dell'SSH, perchè per ognuno dei QNAP conto almeno 10000 tentativi di accesso di questo tipo, ovviamente senza successo, ricorrendo ai nomi più fantasiosi. Ormai un paio di loro sono già due anni che girano senza problemi di sorta. Devo dire anche che la casa madre è puntale e veloce a rilasciare i firmware aggiornati e le app.

[canislupus]

Quote:

Originariamente inviato da baruk

Non gestiamo noi la parte di networking e in questo periodo ci sono dei ritardi e altri problemi. Posso assicurare che il problema sia l'abilitazione o meno dell'SSH, perchè per ognuno dei QNAP conto almeno 10000 tentativi di accesso di questo tipo, ovviamente senza successo, ricorrendo ai nomi più fantasiosi. Ormai un paio di loro sono già due anni che girano senza problemi di sorta. Devo dire anche che la casa madre è puntale e veloce a rilasciare i firmware aggiornati e le app.

Una buona regola è quella di non usare mai le porte standard, usare password particolarmente complesse e magari anche l'autenticazione a doppio fattore.
L'SSH onestamente non vedo perchè debba essere usato sul Qnap... anche se in effetti l'interfaccia grafica è un mezzo mattone rispetto a Synology (li ho entrambi).

[Rei & Asuka]

Un collega l'ha preso, io sui miei due e nell'ufficio fortunatamente no.
In questi mesi avevamo attivato l'app per il collegamento da remoto, ma funziona abbastanza male... Io personalmente ho sempre lasciato un PC acceso ma 20w e mi collegavo con TW o Chrome Remote Desktop, se avevo bisogno.
Finora abbiamo avuto i DNS inseriti nel NAS per aggiornameti e balle varie, ma a questo punto li rimuovo e dovrei isolarlo dal internet mantenendolo al sicuro da attacchi simili, giusto?

[Saturn]

Purtroppo questo succede quando si da la responsabilità della sicurezza a gente totalmente impreparata. Mi lasci un nas con dati aziendali accessibile direttamente nel web ?!? Ma non esiste proprio.

E comunque non posso che essere d'accordo, questa sottospecie di esseri umani che ricattano le persone sequestrandogli i dati, hanno vita facile proprio grazie alle criptovalute. É un fatto.

[radeon_snorky]

non è sicuramente la discussione più adatta ma è inerente a qlocker.... ho un disco pieno di .7z criptati, ho la password e ho anche uno script per decomprimere massivamente... ma non funziona! dice che il file che viede decompresso è già presente nella cartella e mi chiede una azione... qualunque scelga non porta ad avere il file scompattato nella cartella pur avendo come risposta l'ok di 7zip.... help

[Saturn]

Quote:

Originariamente inviato da radeon_snorky

non è sicuramente la discussione più adatta ma è inerente a qlocker.... ho un disco pieno di .7z criptati, ho la password e ho anche uno script per decomprimere massivamente... ma non funziona! dice che il file che viede decompresso è già presente nella cartella e mi chiede una azione... qualunque scelga non porta ad avere il file scompattato nella cartella pur avendo come risposta l'ok di 7zip.... help

Ma manualmente, ovvero aprendo il file .7z con il normale programma dedicato e decomprimendolo in altra cartella, funziona ? I dati sono leggibili ? Sicuramente hai già fatto questa prova ma vorrei esserne sicuro. Brutta storia comunque, hai dovuto pagare il riscatto presumo...sempre se vuoi rispondermi. Questo script chi te lo ha fornito ad ogni modo ?

[radeon_snorky]

Quote:

Originariamente inviato da Saturn

Ma manualmente, ovvero aprendo il file .7z con il normale programma dedicato e decomprimendolo in altra cartella, funziona ? I dati sono leggibili ? Sicuramente hai già fatto questa prova ma vorrei esserne sicuro. Brutta storia comunque, hai dovuto pagare il riscatto presumo...sempre se vuoi rispondermi. Questo script chi te lo ha fornito ad ogni modo ?

manualmente funziona, il problema è che sono 32784 file....
lo script è quello che si trova in diversi forum
@ECHO ON
SET source=_s_o_u_r_c_e_
FOR /F "TOKENS=*" %%F IN ('DIR /S /B "%source%\*.7z"') DO "C:\Program Files (x86)\7-Zip\7z.exe" -p_pw_ x "%%~fF" -o"%%~pF"
pause
EXIT

ho provato con piccole modiche, tipicamente \ o aggiungere -y o -aoa ma nulla da fare, lo script funziona perfettamente ossia 7zip dice che la decompressione è avvenuta ma non vedo il file, così riprovo e al secondo giro mi chiede l'azione da intraprendere perché vede un file con lo stesso nome... ma il file continua a non esserci nella cartella!

[radeon_snorky]

che caz***e che sono! non capisco come sia possibile ma me li ha scompattati su c!!!!!!!

[Saturn]

L'importante è che ci sono dati.

Controllato i percorsi predefiniti all'interno del programma ?

[radeon_snorky]

Quote:

Originariamente inviato da Saturn

L'importante è che ci sono dati.

Controllato i percorsi predefiniti all'interno del programma ?

si, dati salvi!
son io che son fuso... avviavo il bat direttamente quindi il cmd si avviava dal percorso user e ovviamente aveva C come root... rifatto dal disco mappato e sta girando correttamente.

se non fosse stato per dei dati salvati la sera prima e non backuppati avrei consigliato di salvare tutto da parte e piallare, purtroppo anche gli altri colleghi avevano chi più chi meno necessità su alcuni file (nulla che non si potesse riscaricare o ridisegnare o rifare) ma con il solito concetto di tempo-denaro si è preferito proseguire per questa strada