Qnap har et åbent sikkerhedshul i deres HBS3. HBS3 er et program i NAS'en som synkroniserer data mellem andre Qnap NAS. Jeg har kørt det som en ekstern backup udenfor huset, og delt data med en anden server, så vigtige ting lå begge steder. Det betyder så at fordi Qnap har haft et åbent sikkerhedshul kan man ligge sin ransomware ind. Softwaren er blevet døbt Qlocker, og man har faktisk flere muligheder hvis man er blevet ramt. Både den server jeg synkroniserer med, og min egen er blevet ramt, så familiens billeder er pludselig krypteret og de vil have 0.02BTC igennem Tor netværket for at få sine data. Flere har meldt tilbage efter at have betalt. Nogen får aldrig en kode, mens nogen andre får en kode der virker, det er 50/50. I skrivende stund er 0.02BTC cirka 5500kr. Hvis man opdager det imens at Qlocker kører må man ikke slukke, der kan køres et script: cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z; Blot login med SSH, tryk på Q + enter og y + enter og skriv det ind imens Qlocker kører. Scriptet sniffer det password der krypteres med. Qlocker går efter filer under 20MB så det tager ofte ikke lang tid at lave arbejdet, så man skal være hurtig. Opdager man først Qlocker senere som mig, så er der en anden vej. Qlocker ligger dine filer ind i et .7z arkiv som har et password. Imens den gør det sletter den de originale filer, og som vi ved så er slettede filer ikke helt slettet alligevel. En slettet fil bliver blot "markeret" til at bliver overskrevet på disken, så det er VIGTIGT at der ikke bliver skrevet mere til diskene, da det kan overskrive den gamle data der stadig ligger der. Igennem ubuntu kan man mount et netværksdrev, og køre photorec for at få filerne igen, dette er lykkedes mig til dels, jeg kører stadig recovery, og da jeg har 16TB data den skal igennem tager det +360 timer, men jeg kan allerede nu se en MASSE filer der er "krypteret". Slettede data indeholder dog ikke navne eller filstruktur længere, men et script kan kigge hele NAS'ens filer igennem for CRC info på filerne, og matcher det noget der er fundet kan dette slette .7z filen, omdøbe og ligger den korrekte fil tilbage. Jeg skriver fordi jeg har været i panik i 2 dage nu, næsten uden søvn. Data jeg har er blandt andet billeder og videoer af min afdøde nevø der kun blev 5 år - uvurderlig data for mig og familien. Heldigvis har jeg nogle eksterne backups på eksterne diske også, så jeg er ikke HELT på marken. Hvis nogen har Qnap NAS så har Qnap lukket hullet, så sørg for at opdaterer firmware, HBS3 softwaren (alle NAS kommer med det) samt Malware scanner, da denne er opdateret til at fange disse angreb også. Du kan læse min længere historie på engelsk her: https://www.bleepingcomputer.com[...] Hold jeres data sikker! Lav ekstern backup der evt. ligger i pengeskab, hav jeres data 2 steder hvis den er rigtig vigtig! Ofte får man ikke 100% data tilbage. Mange melder om at have reddet 70% på denne måde.
--