1100423 QLocker勒索病毒解決紀錄

回覆文章
Lexaul
文章: 231
註冊時間: 2019-10-18, 14:28

1100423 QLocker勒索病毒解決紀錄

文章 Lexaul » 2021-04-23, 10:59

懶人包
A.
Malware Remover 已經更新,可行的話,他會自動取得加密 Key 及砍掉加密程式。
如有發現 QLocker 加密病毒,會出現「Detected abnormal system files. Contact QNAP support immediately.」
B.若發現病毒,尚未重開機且加密正在進行中 (已重開機、加密已結束皆無用)

1.SSH登入NAS

2.使用以下 command 檢查加密是否進行中;如果不是進行中,可以直接放棄

代碼: 選擇全部

ps | grep 7z
加密程序進行中
LOG01.jpg
加密程序非進行中
LOG01-1.jpg
LOG01-1.jpg (5.4 KiB) 已瀏覽 2050 次
3.若加密進行中,輸入以下 command

代碼: 選擇全部

cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
4.等待10秒,輸入以下 command

代碼: 選擇全部

cat /mnt/HDA_ROOT/7z.log
得以下輸出

代碼: 選擇全部

a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [FOLDER PATH]
「mFyBIvp55M46kSxxxxxYv4EIhx7rlTD」就是加密的密碼

5. 重新開機,自行解壓(圖中反白即為密碼)
log02.png

參考資料
HKEPC新聞
bleepingcomputer報導
ITHome新聞

hkepc新聞內容
IT 安全新聞網站 Bleeping Computer 爆料,QNAP NAS 被黑客鎖定攻撃,透過名為 Qlocker 勒索軟體將用家檔案加密,受影響檔案的副檔名全部變成 7z,並且留下勒索訊息要求中招 QNAP 用家支付 0.01 BTC 贖金,折約 HK$4,300 元來解鎖,現時已得知 HKEPC 討論區出現大量苦主。

此事今日在 HKEPC 討論區引起熱烈討論,不少使用者表示自己 QNAP NAS的檔案全數遭到加密,雖然有人研究出解決方法,但後來黑客已修改勒索軟體,使得解決機制已經失效。

根據 HKEPC 討論區苦主表示,他們使用的 QNAP NAS 遭到攻擊之後,檔案全部被7-Zip打包成受到密碼保護的壓縮檔案,有部分受害者發現快照遭到刪除,而在檔案被加密的過程中,使用者可從資源監視器看到 7-Zip命令列版本的處理程序在執行。

QNAP 已就事件作出回應,指 Qlocker 攻撃與 CVE-2020-2509 與 CVE-2020-36195 漏洞有關,該漏洞允許任意人士取得完整的存取權限,並在 NAS 上執行勒索軟體。

問題原因
官方對QLocker的回應
有說法是
Media Streaming add-on
Multimedia Console
套件漏洞
(我沒有安裝這兩個APP,媒體服務也是關閉的)

另一說法(PTT連結) (QNAP連結)
駭客用
Hybrid Backup Sync 套件入侵
(有安裝)

問題發現及排除

論壇(FB連結)發現多人討論Qlocker
13929550883774.png
馬上去看自己的NAS,發現異常
2FILE.jpg
解決方法(僅限尚未重開機且加密進行中,已重開機、加密已結束皆無用)
2021-04-23 更新:
昨晚 Malware Remover 已經更新,可行的話,他會自動取得加密 Key 及砍掉加密程式。
如有發現 QLocker 加密病毒,會出現
「Detected abnormal system files. Contact QNAP support immediately.」
===================
QNAP NAS 最近中了 7z 加密病毒的
1. 不要重新開機;重新開機過可以直接放棄
2. SSH 登入進去
3. 使用以下 command 檢查加密是否進行中;如果不是進行中,可以直接放棄
ps | grep 7z
4. 如果加密進行中,請輸入以下 command
cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
5. 等待10秒,輸入以下 command
cat /mnt/HDA_ROOT/7z.log
得出
a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [FOLDER PATH]
「mFyBIvp55M46kSxxxxxYv4EIhx7rlTD」就是加密的密碼
6. 重新開機,自行解壓(或參考下述方法)

2021.04.28更新
解壓縮與更名程式by酷爸

酷爸部落格:https://www.ku88.xyz/?p=1142
酷爸FB PO文:https://www.facebook.com/groups/nas.tw/ ... 991663245/




使用開源的QNAP_7z_unzip_rename.exe(原始碼與載點請參考酷爸部落格)

解壓縮及更名程式
decrypt-1.jpg
處理前
decrypt-2.jpg
處理中
decrypt-8.jpg
處理後
decrypt-3.jpg
decrypt-3.jpg (19.37 KiB) 已瀏覽 2041 次
使用開源的QNAP_7z_remove.exe刪除壓縮完畢後的7z(原始碼與載點請參考酷爸部落格)
decrypt-4.jpg
刪除前
decrypt-5.jpg
decrypt-5.jpg (17.42 KiB) 已瀏覽 2041 次
刪除後
decrypt-6.jpg
log
decrypt-7.jpg
decrypt-7.jpg (31.86 KiB) 已瀏覽 2041 次
特別感謝FB社團 NAS 網路磁碟伺服器 使用者俱樂部網友提供的資源
[email protected]
github.com/Lexaul
回頂端
回覆文章

回到「NAS」