1100423 QLocker勒索病毒解決紀錄
發表於 : 2021-04-23, 10:59
懶人包
A.
Malware Remover 已經更新,可行的話,他會自動取得加密 Key 及砍掉加密程式。
如有發現 QLocker 加密病毒,會出現「Detected abnormal system files. Contact QNAP support immediately.」
B.若發現病毒,尚未重開機且加密正在進行中 (已重開機、加密已結束皆無用)
1.SSH登入NAS
2.使用以下 command 檢查加密是否進行中;如果不是進行中,可以直接放棄
加密程序進行中
加密程序非進行中
3.若加密進行中,輸入以下 command
4.等待10秒,輸入以下 command
得以下輸出
「mFyBIvp55M46kSxxxxxYv4EIhx7rlTD」就是加密的密碼
5. 重新開機,自行解壓(圖中反白即為密碼)
參考資料
HKEPC新聞
bleepingcomputer報導
ITHome新聞
hkepc新聞內容
IT 安全新聞網站 Bleeping Computer 爆料,QNAP NAS 被黑客鎖定攻撃,透過名為 Qlocker 勒索軟體將用家檔案加密,受影響檔案的副檔名全部變成 7z,並且留下勒索訊息要求中招 QNAP 用家支付 0.01 BTC 贖金,折約 HK$4,300 元來解鎖,現時已得知 HKEPC 討論區出現大量苦主。
此事今日在 HKEPC 討論區引起熱烈討論,不少使用者表示自己 QNAP NAS的檔案全數遭到加密,雖然有人研究出解決方法,但後來黑客已修改勒索軟體,使得解決機制已經失效。
根據 HKEPC 討論區苦主表示,他們使用的 QNAP NAS 遭到攻擊之後,檔案全部被7-Zip打包成受到密碼保護的壓縮檔案,有部分受害者發現快照遭到刪除,而在檔案被加密的過程中,使用者可從資源監視器看到 7-Zip命令列版本的處理程序在執行。
QNAP 已就事件作出回應,指 Qlocker 攻撃與 CVE-2020-2509 與 CVE-2020-36195 漏洞有關,該漏洞允許任意人士取得完整的存取權限,並在 NAS 上執行勒索軟體。
問題原因
官方對QLocker的回應
有說法是
Media Streaming add-on
Multimedia Console
套件漏洞
(我沒有安裝這兩個APP,媒體服務也是關閉的)
另一說法(PTT連結) (QNAP連結)是
駭客用
Hybrid Backup Sync 套件入侵
(有安裝)
問題發現及排除
於論壇(FB連結)發現多人討論Qlocker
馬上去看自己的NAS,發現異常
解決方法(僅限尚未重開機且加密進行中,已重開機、加密已結束皆無用)
2021-04-23 更新:
昨晚 Malware Remover 已經更新,可行的話,他會自動取得加密 Key 及砍掉加密程式。
如有發現 QLocker 加密病毒,會出現
「Detected abnormal system files. Contact QNAP support immediately.」
===================
QNAP NAS 最近中了 7z 加密病毒的
1. 不要重新開機;重新開機過可以直接放棄
2. SSH 登入進去
3. 使用以下 command 檢查加密是否進行中;如果不是進行中,可以直接放棄
ps | grep 7z
4. 如果加密進行中,請輸入以下 command
cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
5. 等待10秒,輸入以下 command
cat /mnt/HDA_ROOT/7z.log
得出
a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [FOLDER PATH]
「mFyBIvp55M46kSxxxxxYv4EIhx7rlTD」就是加密的密碼
6. 重新開機,自行解壓(或參考下述方法)
2021.04.28更新
解壓縮與更名程式by酷爸
酷爸部落格:https://www.ku88.xyz/?p=1142
酷爸FB PO文:https://www.facebook.com/groups/nas.tw/ ... 991663245/
使用開源的QNAP_7z_unzip_rename.exe(原始碼與載點請參考酷爸部落格)
解壓縮及更名程式
處理前
處理中
處理後
使用開源的QNAP_7z_remove.exe刪除壓縮完畢後的7z(原始碼與載點請參考酷爸部落格)
刪除前
刪除後
log
特別感謝FB社團 NAS 網路磁碟伺服器 使用者俱樂部網友提供的資源
A.
Malware Remover 已經更新,可行的話,他會自動取得加密 Key 及砍掉加密程式。
如有發現 QLocker 加密病毒,會出現「Detected abnormal system files. Contact QNAP support immediately.」
B.若發現病毒,尚未重開機且加密正在進行中 (已重開機、加密已結束皆無用)
1.SSH登入NAS
2.使用以下 command 檢查加密是否進行中;如果不是進行中,可以直接放棄
代碼: 選擇全部
ps | grep 7z - LOG01-1.jpg (5.4 KiB) 已瀏覽 2053 次
代碼: 選擇全部
cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;代碼: 選擇全部
cat /mnt/HDA_ROOT/7z.log代碼: 選擇全部
a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [FOLDER PATH]5. 重新開機,自行解壓(圖中反白即為密碼)
參考資料
HKEPC新聞
bleepingcomputer報導
ITHome新聞
hkepc新聞內容
IT 安全新聞網站 Bleeping Computer 爆料,QNAP NAS 被黑客鎖定攻撃,透過名為 Qlocker 勒索軟體將用家檔案加密,受影響檔案的副檔名全部變成 7z,並且留下勒索訊息要求中招 QNAP 用家支付 0.01 BTC 贖金,折約 HK$4,300 元來解鎖,現時已得知 HKEPC 討論區出現大量苦主。
此事今日在 HKEPC 討論區引起熱烈討論,不少使用者表示自己 QNAP NAS的檔案全數遭到加密,雖然有人研究出解決方法,但後來黑客已修改勒索軟體,使得解決機制已經失效。
根據 HKEPC 討論區苦主表示,他們使用的 QNAP NAS 遭到攻擊之後,檔案全部被7-Zip打包成受到密碼保護的壓縮檔案,有部分受害者發現快照遭到刪除,而在檔案被加密的過程中,使用者可從資源監視器看到 7-Zip命令列版本的處理程序在執行。
QNAP 已就事件作出回應,指 Qlocker 攻撃與 CVE-2020-2509 與 CVE-2020-36195 漏洞有關,該漏洞允許任意人士取得完整的存取權限,並在 NAS 上執行勒索軟體。
問題原因
官方對QLocker的回應
有說法是
Media Streaming add-on
Multimedia Console
套件漏洞
(我沒有安裝這兩個APP,媒體服務也是關閉的)
另一說法(PTT連結) (QNAP連結)是
駭客用
Hybrid Backup Sync 套件入侵
(有安裝)
問題發現及排除
於論壇(FB連結)發現多人討論Qlocker
2021-04-23 更新:
昨晚 Malware Remover 已經更新,可行的話,他會自動取得加密 Key 及砍掉加密程式。
如有發現 QLocker 加密病毒,會出現
「Detected abnormal system files. Contact QNAP support immediately.」
===================
QNAP NAS 最近中了 7z 加密病毒的
1. 不要重新開機;重新開機過可以直接放棄
2. SSH 登入進去
3. 使用以下 command 檢查加密是否進行中;如果不是進行中,可以直接放棄
ps | grep 7z
4. 如果加密進行中,請輸入以下 command
cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
5. 等待10秒,輸入以下 command
cat /mnt/HDA_ROOT/7z.log
得出
a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [FOLDER PATH]
「mFyBIvp55M46kSxxxxxYv4EIhx7rlTD」就是加密的密碼
6. 重新開機,自行解壓(或參考下述方法)
2021.04.28更新
解壓縮與更名程式by酷爸
酷爸部落格:https://www.ku88.xyz/?p=1142
酷爸FB PO文:https://www.facebook.com/groups/nas.tw/ ... 991663245/
使用開源的QNAP_7z_unzip_rename.exe(原始碼與載點請參考酷爸部落格)
解壓縮及更名程式
- decrypt-3.jpg (19.37 KiB) 已瀏覽 2044 次
- decrypt-5.jpg (17.42 KiB) 已瀏覽 2044 次
- decrypt-7.jpg (31.86 KiB) 已瀏覽 2044 次