W ciągu ostatniego czasu pojawiły się ataki typu malware na urządzenia QNAP, które prowadzą do zaszyfrowania plików do archiwum 7z. Za klucz deszyfrujący atakujący żądają okupu. Wykorzystywana jest podatność, która została załatana wcześniej i te urządzenia, które miały wgrane wszystkie ostatnie aktualizacje, są bezpieczne.
Szczegóły:
https://www.qnap.com/zh-tw/security-advisory/qsa-21-11
Poniżej rozwiązanie, które umożliwia odzyskanie danych w przypadku trwającego szyfrowania. Prosimy, abyście podzielili się tym rozwiązaniem z klientami, którzy zostali zaatakowani przez taki malware. Dzięki analizie procesu szyfrującego udało się zweryfikować sposób działania oraz możliwe jest odczytanie klucza szyfrującego. Jednak
Kluczowe jest nie restartowanie NAS!!!!
- NIE RESTARTUJ NAS
- Połącz się z urządzeniem przez SSH
- Wykonaj poniższe polecenie żeby sprawdzić, czy trwa szyfrowanie:
ps | grep 7z
- Jeśli 7z działa, wykonaj komendę:
cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000′ > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
- Poczekaj kilka minut i przy użyciu „cat” odczytaj klucz szyfrujący:
cat /mnt/HDA_ROOT/7z.log
Szukany wpis wygląda podobnie do:
a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [FOLDER PATH]
mFyBIvp55M46kSxxxxxYv4EIhx7rlTD To klucz do odszyfrowania plików – uwaga, dla każdego NAS może być inny
6. Zrestartuj NAS i przy użyciu klucza mFyBIvp55M46kSxxxxxYv4EIhx7rlTD Odszyfruj pliki.
Źródło: qnap.com