Purtroppo stamani ci siamo resi conto che il NAS QNAP a lavoro è stato "attaccato".
Tutti i files risultano compressi e inutilizzabili.
Compare anche un file txt con il seguente messaggio:
"!!! All your files have been encrypted !!!
All your files were encrypted using a private and unique key generated for the computer. This key is stored in our server and the only way to receive your key and decrypt your files is making a Bitcoin payment.
To purchase your key and decrypt your files, please follow these steps:
1. Dowload the Tor Browser at "www.xxxxxxxxxxxx.yyy" (ometto il link, se poi servisse lo mando in pvt ). If you need help, please Google for "access onion page".
2. Visit the following pages with the Tor Browser:
gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion
3. Enter your Client Key:
jb+rhponBKshcJ9vAD80oreKOG/pTjJI3lcnMPsH9N6vUFI6ladV... etc.
"
Tra l'altro ho pure paura per quello di casa.
Sembra che QNAP si stia muovendo per trovare una soluzione perchè l'attacco riguarda proprio i loro sistemi.
Sono un po' sconfortato.
Secondo voi ci sono possibilità di recuperare i files?
Anche pagando un pro che non siano possibilmente i delinquenti che hanno causato ciò.
forse c'è speranza se si tratta di Qlocker.... guarda quì:
https://www.bleepingcomputer.com/news/security/massive-qlocker-ransomware-attack-uses-7zip-to-encrypt-qnap-devices/ (https://www.bleepingcomputer.com/news/security/massive-qlocker-ransomware-attack-uses-7zip-to-encrypt-qnap-devices/)
adesso non posso fare di più
per adesso grazie. non ti nascondo una grande preoccupazione...enorme.
sia per l'archivio di lavoro che per il nas di casa che però ancora non ho verificato
ti faccio sapere
il collega , che parla in inglese molto bene, mi ha detto che è proprio da quella pagina da cui ha capito che si trattava di un problema "globale" dei sistemi QNAP.
al momento ho seguito questa guida e come indicato scritto al centro assistenza.
https://www.qnap.com/it-it/news/2021/response-to-qlocker-ransomware-attacks-take-actions-to-secure-qnap-nas?ref=web_push (https://www.qnap.com/it-it/news/2021/response-to-qlocker-ransomware-attacks-take-actions-to-secure-qnap-nas?ref=web_push)
vero che un backup su disco esterno da collegare a manina ogni volta lo facevi? dimmi di si.....
no,
mi do tempo fino a domani se rispondono qualcosa dalla qnap...poi dovremo pagare e sperare che comunque serva.
Lunedi ho fatto un ripristino di un intero server "criptato". 11Tb recuperati dal backup di due giorni prima, in sostanza solo una seccatura. Per caso hai spento/riavviato il NAS? Se si le speranze sono pressocchè nulle amenochè tra qualche settimana venga fuori un qualche tool di recupero ma quand'anche fosse non puoi aspettare settimane, il lavoro non aspetta. Se no, stacca il cavo di rete del NAS per isolarlo dal mondo esterno e dalla LAN interna che forse un certo file temporaneo contiene la password di criptazione (sempre che la versione di Qlocker non sia una delle ultime), in tal caso hai la chiave per decrittare il tutto.Tutto stà nella qualità del lavoro svolto dai creatori di Qlocker, se sono esperti non si fanno sgamare ma da come sembra se hanno fatto la stupidata di lasciare il file temporaneo e poi accorgersi dell'errore, può essere che l'algoritmo che genera la password di criptazione sia banale e con un sistema di calcolo adeguato si potrebbe tentare la craccatura della password.Comunque ti conviene mettere in uso un HD esterno da collegarsi solo al momento del backup, al più presto sia per casa sia per ufficio.
Citazione di: bigbore il 22 Aprile 2021, 19:26:08
Lunedi ho fatto un ripristino di un intero server "criptato". 11Tb recuperati dal backup di due giorni prima, in sostanza solo una seccatura. Per caso hai spento/riavviato il NAS? Se si le speranze sono pressocchè nulle amenochè tra qualche settimana venga fuori un qualche tool di recupero ma quand'anche fosse non puoi aspettare settimane, il lavoro non aspetta. Se no, stacca il cavo di rete del NAS per isolarlo dal mondo esterno e dalla LAN interna che forse un certo file temporaneo contiene la password di criptazione (sempre che la versione di Qlocker non sia una delle ultime), in tal caso hai la chiave per decrittare il tutto.[/size]Tutto stà nella qualità del lavoro svolto dai creatori di Qlocker, se sono esperti non si fanno sgamare ma da come sembra se hanno fatto la stupidata di lasciare il file temporaneo e poi accorgersi dell'errore, può essere che l'algoritmo che genera la password di criptazione sia banale e con un sistema di calcolo adeguato si potrebbe tentare la craccatura della password.Comunque ti conviene mettere in uso un HD esterno da collegarsi solo al momento del backup, al più presto sia per casa sia per ufficio.
La prima cosa che ho fatto è stato spegnerlo!!!!!!!!!!
La seconda staccarlo dalla rete.
Però per seguire le istruzioni del sito qnap l'ho riattaccato per fare gli aggiornamenti...
A casa stessa cosa ma senza fare l'aggiornamento. Ho chiamato la moglie e le ho detto di togliere corrente alla ciabatta su cui appoggiano i nas (che sono due)
Da dire che a casa ancora non ho verificato se l'attacco c'è stato o no.
Certo, lo so.
Ci mancherebbe che non lo sapessi. ... purtroppo avevo tentato di configurare la possibilità di fare backup in automatico, ma non mi riuscì e poi...passa il tempo...e ti scordi.
Da dire che in onestà ritenevo il sistema QNAP abbastanza serio su questo fronte.
Ovviamente provo un misto di costernazione/incaz z atura/frustrazione e preoccupazione, sia per il problema che per non aver fatto il backup.
E" successa la stessa cosa a noi un mese fa.
Richiesta 300000 € di riscatto, fatta denuncia mandato afffanc gli hacker.
Domani chiedo al IP mgr come si e' operato per il recupero dei dati, tuttavia credo ci fossero più backup da cui recuperare i file.
Appena rientrato a casa, ho riacceso il nas domestico e da una prima analisi sembrerebbe non aver subito danni.
Quindi rispento subito e nel weekend applicherò gli aggiornamenti necessari per proteggerlo via software.
Yumax, immagino che avevate i backup.
Purtroppo noi no.
Ovviamente sarà motivo di investimento quasi immediato.
Ma adesso, spero che comprendiate, che sono focalizzato esclusivamente su quali possibilità abbiamo di recuperare rapidamente accesso ai files.
Citazione di: federosso il 22 Aprile 2021, 21:24:52
Appena rientrato a casa, ho riacceso il nas domestico e da una prima analisi sembrerebbe non aver subito danni.
Quindi rispento subito e nel weekend applicherò gli aggiornamenti necessari per proteggerlo via software.
Yumax, immagino che avevate i backup.
Purtroppo noi no.
Ovviamente sarà motivo di investimento quasi immediato.
Ma adesso, spero che comprendiate, che sono focalizzato esclusivamente su quali possibilità abbiamo di recuperare rapidamente accesso ai files.
beh fede che dire è più che comprensibile.
Il mio intervento è sicuramente inutile, ma era atto a darti un po di solidarietà.
Attenti a valutare soluzioni.
pare che se pagati questi squinternati ci provino gusto.
Le forze dell'ordine che hanno raccolto la denuncia dicono che questi sporchi lavori sono fatti anche conto terzi e che bastano 5K € per scatenare l'inferno in una azienda con un bel ransomware.
@Bigbore, che ne pensi di questi?
https://www.beforecrypt.com/en/ransomware-recovery/?gclid=Cj0KCQjwvYSEBhDjARIsAJMn0lhMcZQzXLT9gT9wJvkpuY76oAMF32rl0xLMOYm2JmG3MHxGC_Ay8DkaAj0WEALw_wcB/ (https://www.beforecrypt.com/en/ransomware-recovery/?gclid=Cj0KCQjwvYSEBhDjARIsAJMn0lhMcZQzXLT9gT9wJvkpuY76oAMF32rl0xLMOYm2JmG3MHxGC_Ay8DkaAj0WEALw_wcB/)
Yumax, sapessi quanto mi brucerebbe arrivare a dover pagare sto delinquenti.
Stupidi noi a non aver messo in pratica le tutele giuste preventivamente. Non mi stanco di dirlo.
Ovviamente preferirei pagare la solita cifra chiesta da loro (sui 500 euro) a un pro che risolva.
Faremo denuncia.
Che poi c'è pure il rischio di pagare e non ottenere soluzione.
Quello che spero ė che la qnap trovi una qualche soluzione rapidamente visto che sembra chiaro che il problema vulnerabilità fosse reale e a loro noto.
Citazione di: federosso il 22 Aprile 2021, 22:06:55
Yumax, sapessi quanto mi brucerebbe arrivare a dover pagare sto delinquenti.
Stupidi noi a non aver messo in pratica le tutele giuste preventivamente. Non mi stanco di dirlo.
Ovviamente preferirei pagare la solita cifra chiesta da loro (sui 500 euro) a un pro che risolva.
Faremo denuncia.
Che poi c'è pure il rischio di pagare e non ottenere soluzione.
Quello che spero ė che la qnap trovi una qualche soluzione rapidamente visto che sembra chiaro che il problema vulnerabilità fosse reale e a loro noto.
concordo in pieno.
E posso anche capirti giacché anche per noi è stato panico totale per due settimane.
Fortunatamente avevamo appena fatto il passaggio a SAP e quindi almeno abbiamo potuto proseguire con il quotidiano ma da come apparivano le cose sembrava che avevamo perso 30 anni di lavoro.
A me personalmente è capitato due volte e ho risolto solo con la formattazione totale del HD, perdendo tutto, poi ho deciso che faccio il back up su due dischi separatamente ogni 4 - 6 mesi più il back up in cloud della Apple e un Back up in cloud con il provider.
Forza Fede.
prima di tutto allestisci il sistema di backup poi ripristina gli archivi.
Prendi almeno due hard disk, meglio tre, ognuno di capienza confacente alla mole di dati, etichettali in modo da distinguerli e alternarli senza confondersi. Crea una tabella del tipo: lunedi disco A, martedi disco B mercoledi disco C e poi si ricomincia. Ultima cosa da fare della giornata è collegare il disco e far partire il backup. Prima cosa da fare al mattino, staccare il disco sul quale è stato fatto il backup e metterlo al sicuro - NON lasciarlo collegato - Altro giorno altro hard disk
Se fai così avrai uno-due passi indietro di salvataggio perchè i danni agli archivi non sono solo la perdita ma anche l'alterazione.
Per il software di backup può essere sufficiente un cobian 11.
Lo si potrebbe fare in modo automatico?
Ho visto che esistono dei così che metti in rete per fare backup.
Non si possono configurare perché si accendano, eseguano backup e poi si spengano per evitare di venire attaccati quando non sono in funzione?
Non ti nascondo che adesso sono totalmente focalizzato sul come ritrovare i buoi per pensare a quale serratura montare perché la stalla non si riapra in futuro.
Per quanto sia consapevole che questo sia gran parte del problema.
stamani abbiamo provato a seguire questa guida:
https://www.youtube.com/watch?v=aq_cIdY_ksQ&t=275s (https://www.youtube.com/watch?v=aq_cIdY_ksQ&t=275s)
ma senza risultato.
QNAP ci ha risposto:
"
L'assistenza tecnica QNAP ha aggiornato il ticket di assistenza Q-202104-xxxxxxx. Per verificare il ticket, andare sul Portale clienti QNAP . Di seguito un'anteprima del ticket aggiornato:@@@
Gentile cliente,
grazie per aver contattato il supporto tecnico QNAP.
Come indicato nella newsletter della sicurezza QNAP, recentemente sono stati presi di mira alcuni device QNAP esposti su internet:
- https://www.qnap.com/en/news/2021/response-to-qlocker-ransomware-attacks-take-actions-to-secure-qnap-nas (https://www.qnap.com/en/news/2021/response-to-qlocker-ransomware-attacks-take-actions-to-secure-qnap-nas)
Riteniamo che l'attacco sia correlato a CVE-2020-36195 e CVE-2021-28799:
- https://www.qnap.com/en/security-advisory/qsa-21-11 (https://www.qnap.com/en/security-advisory/qsa-21-11)
- https://www.qnap.com/en/security-advisory/qsa-21-13 (https://www.qnap.com/en/security-advisory/qsa-21-13)
Quindi consigliamo vivamente di aggiornare Multimedia Console, HBS3 e Media Streaming Add-on alla versione più recente.
Inoltre, modificare la porta web predefinita 8080 (e non riavviare o spegnere il NAS).
NOTA IMPORTANTE:
Se il processo crittografico ha completato la propria esecuzione o se il NAS è stato riavviato/spento, le procedure riportate di seguito nella comunicazione non possono essere più applicate.
In quel caso l'unico modo per ripristinare i dati è tramite un backup precedente dopo aver re-inizializzato il NAS.
Malware Remover contiene una nuova regola in grado di analizzare l'attacco ransomware e recupererare la chiave di crittografia se la crittografia è ancora in corso o se il NAS non è stato riavviato/spento.
Se il processo di criptazione dovesse essere ancora in running (NON riavviare il NAS o spegnerlo), basterà seguire questo workflow per recuperare la chiave di criptazione:
Method1
1. Install Malware Remover from APP Center and run it manually;
2. Connect nas over ssh:
https://www.qnap.com/en/how-to/knowledge-base/article/how-to-access-qnap-nas-by-ssh (https://www.qnap.com/en/how-to/knowledge-base/article/how-to-access-qnap-nas-by-ssh)
3. Use the command below to find if ransomware is still in progress.
cp `getcfg MalwareRemover Install_Path -f /etc/config/qpkg.conf`/7z.log /share/Public
4. If command back 'No such file or directory' means the NAS has been rebooted or encryption process has finished, if that is the case, unfortunately there is nothing that can be done to help;
5. If command has been executed without issue, you can see 7z.log in NAS at the Public folder, which will include password;
6. Password will look like bellow:
a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [FOLDER PATH]
mFyBIvp55M46kSxxxxxYv4EIhx7rlTD is password
7. You can reboot NAS and use the password to decrypt the files;
8. If you don't know how to read the password, please, you may send to QNAP Support the complete message with the NAS diagnostic log.
Method2
1. Connect NAS over ssh;
https://www.qnap.com/en/how-to/knowledge-base/article/how-to-access-qnap-nas-by-ssh (https://www.qnap.com/en/how-to/knowledge-base/article/how-to-access-qnap-nas-by-ssh)
2. Use the command below to find out if ransomware is still in progress.
ps | grep 7z
3. If there is no 7z, it means the NAS has been rebooted or the encryption process has been finished, if that is the case, unfortunately there is nothing that can be done to help;
4. If 7z is running, copy/paste command below and press enter(1 line)
cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
5. Wait a couple minutes to use cat to grep password;
cat /mnt/HDA_ROOT/7z.log
It will look like bellow:
a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [FOLDER PATH]
mFyBIvp55M46kSxxxxxYv4EIhx7rlTD is password
6. You can reboot NAS and use the password to decrypt the files;
7. If you don't know how to read the password, please, you may send to QNAP Support the complete message with the NAS diagnostic log.
In allegato una guida QNAP per aumentare la sicurezza del proprio NAS quando viene esposto su internet:
https://www.qnap.com/it-it/how-to/faq/article/quali-sono-le-migliori-prassi-per-migliorare-la-sicurezza-del-nas (https://www.qnap.com/it-it/how-to/faq/article/quali-sono-le-migliori-prassi-per-migliorare-la-sicurezza-del-nas)
Faccia riferimento al seguente link con i consigli sulla sicurezza del proprio NAS:
https://www.qnap.com/en/security-advisories (https://www.qnap.com/en/security-advisories)
Consigliamo inoltre di iscriversi alla newsletter QNAP sulla sicurezza, continuamente aggiornata:
https://www.qnap.com/solution/topics-of-interest/it-it/ (https://www.qnap.com/solution/topics-of-interest/it-it/)
Il supporto QNAP non ha ulteriori consigli o workflow oltre quelli indicati,
Per gli utenti che avessero difficoltà ad eseguire quanto riportato possono rivolgersi a personale tecnico esterno di propria fiducia.
Grazie.
"
Quindi niente:
- NAS è stato spento credendo di fare cosa giusta
- backup non ne abbiamo fatti... sapendo di sbagliare
CitazioneQuindi niente:
- NAS è stato spento credendo di fare cosa giusta
- backup non ne abbiamo fatti... sapendo di sbagliare
che cavolo mi spiace veramente
amen
Ti hanno praticamente detto ciò che già ti avrva detto il sommo (computeristicamente parlando) bigbore...
abbiamo pagato! [arngry] [mad] [stupito]
ricevuta la chiave di apertura ... e adesso apro topic dedicato allo sviluppo del sistema di backup.
Purtroppo siamo stati vittime ma innegabilmente avremmo dovuto esserci fatti trovare preparati.
Procediamo e serva di lezione a tutti quelli che come noi pensano che ste cose capitano ad altri.
già... il backup deve essere il primo comandamento
Capisco che è solo una inutile predica.
Chi "lavora" coi computer al loro interno ha "soldi" e come tali deve tutelarli.. Quindi una o + copie scollegate da qualsiasi cosa
no, no...fate bene... merito le "brontolate".
Ovviamente non scordiamoci che sono vittima ... nel senso che comunque a tutti gli effetti sarebbe bello vivere in un mondo con porte senza serrature. E per quello che mi riguarda mi piace trasmettere questo messaggio.
Per natura non sono un ripetitore del concetto "meglio aver paura che buscarne". o almeno provo a non trasmetterlo come sistema di vita.
Ho sempre pensato a danni che potevano capitare per motivi d'usura delle apparecchiature e non immaginavo di incappare in una situazione di vera estorsione.
Allora, sicuramente un backup continuo è la soluzione, però il buon Fede ha ragione quando dice che è la vittima, di gente "marrone" aggiungo io >:-O . Mi spiace davvero, hai risolto ma subendo un ricatto. Io nel mio piccolo lavoro su un pc totalmente scollegato dalla rete (non ha manco una scheda di rete interna), poi trasferisco i file tramite hd esterno se serve sul portatile. Però è una soluzione che va bene per me, che sono solo. E sul pc ho comunque due hd diversi di backup, ma per il rischio che un disco "zompi" (cosa già successa anni fa).
Infatti il mio discorso era decisamente più ampio. Mi riferivo anche alle rotture meccaniche...
L'idea del Nas in mirroring nacque per prevenire problemi hardware
banditi a parte che possono sequestrarti i file, il problema di trovarti file rovinati/bloccati/criptati/cancellati può avvenire (anche senza dolo) da parte di un utente un poco sbadato che fa danni. Certo se le policy di accesso sono fatte bene diventa difficile ma non impossibile (tipo la password di administrator scritta su un post-it in bella vista). Poi ci sono i guasti elettrici che ti possono friggere il NAS se non è alimentato con UPS... poi c'è il crollo del soffitto che spiaccica il NAS sotto metri cubi di cemento... incendio.... alluvione... effrazione con furto del NAS... bombardamento... esplosione nucleare.... anche la semplice sfiga. Anche archiviare sul cloud può essere azzardato visto che i datacenter prendono fuoco (OvH a strasburgo) per cui fare affidamento su più copie è fondamentale.
Millemila ragioni per avere una copia integrale degli archivi su un supporto ridondato e delocalizzato se ci tieni ai file.
Il dolo ha sempre un sapore diverso rispetto alla sfiga ... Almeno per me che sono un "Candido"...il dolo non è sfiga.
Dunque, procediamo.
Domani o domenica apro topic, preparatevi a dare suggerimenti riguardo a backup possibilmente automatici e ...
Vabbè poi chiedo in apposito capitolo.
Comunque grazie comunque per l'aiuto.