Ransomware Qlocker "Culer"

    ... als hätte es jemand vorhergesagt, dass sowas die Tage auf uns zukommt :|


    Was für eine Lösung suchst Du denn? NAS sauber und betriebsbereit machen, oder Daten retten weil kein Backup vorhanden?

    Du hattest es doch schon mit einer Recovery versucht, oder nicht?

    Backup ist wie gesagt vorhanden (wenn auch 2 Wochen alt). Ich versuche das NAS wieder sauber und betriebsbereit zu machen, scheitere aber bis jetzt an meinem Unwissen....


    Das mit der FW-Recovery hat bis jetzt nicht geklappt. Habe gestern Abend noch deinen Blog gefunden:


    Firmware Recovery - Es geht nicht immer so, wie QNAP sagt


    Ist dies zuerst nötig oder soll ich es erst mal mit sauber formatierten Festplatten versuchen?

    OK, vielen Dank. Dann versuch ich erst mal die Variante "light". Bin gerade dabei die erste Platte mit CC-Cleaner zu formatieren und werde danach schon mal versuchen, das NAS mit dieser einen Platte zum Leben zu erwecken.


    Von der zweiten Platte mach ich nen Backup, sobald ich die gestern bestellte externe SSD bekommen habe.

    Einmal editiert, zuletzt von goofino ()

  • dr_mike

    Hat den Titel des Themas von „Qlocker "Culer"“ zu „Ransomware Qlocker "Culer"“ geändert.
    Zitat von goofino

    versuchen, das NAS mit dieser einen Platte zu Leben zuerwecken.

    leben sollte das NAS eigentlich noch... was genau meinst Du denn mit "out of order"?

    Zitat von goofino

    Von der zweiten Platte mach ich nen Backup

    Auf jeden Fall... so wie es aussieht ist man ja schon an einer Schwachstelle dran, die es ermöglichen soll die Daten wiederherzustellen. Kommst Du an die Daten denn momentan ohne weiteres dran? Ich würde ja lieber erst irgendwas machen, nachdem ich die Daten gesichert habe.


    Edit: es soll sogar schon eine Lösung geben, die noch veröffentlicht wird.

    Bislang funktionieren die Lösungsansätze in den Kommentaren wohl nicht, es soll aber bald eine funktionierende Lösung veröffentlicht werden.

    An die Daten komm ich nur bedingt ran. Ich hab die Zweite Platte an nem PC dran und greife mit nem Linux-Reader drauf zu. Zum Glück hatte ich rechtzeitig eingegriffen und das NAS ausgeschaltet. Somit wurde nur ein Teil der Daten verschlüsselt. So wie hier diskutiert wird, werden nur kleine Dateien verschlüsselt (<20MB):


    https://www.bleepingcomputer.c…ypting-with-extension-7z/


    Sorry, mit "out of order" meine ich, dass ich es ausser Betrieb genommen habe.


    Sobald die erste Platte formatiert ist, werde ich mal versuchen, das NAS neu aufzusetzen. Bin leider kein Experte und mache das erst zum zweiten mal (das erste mal war beim Kauf 2014).


    Ach ja, ich habe 2 Backups. Eines auf nem alten TS-109. Das getrau ich mich aber derzeit nicht einzuschalten, warte erst mal zu bis es ausreichende Informationen gibt, wie sich der Virus verbreitet.


    Das Zweite auf ner externen Festplatte, die ich aber erst von einem anderen Ort holen muss.

    Ich sammle mal kurz:

    Zitat von Kommentare bleepingcomputer.com

    Try this command:


    cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;


    the encryption key would be stored in /mnt/HDA_ROOT/7z.log which you can then use to decrypt

    nachdem das zunächst nicht funktionierte kam vor 12 Minuten das:

    Zitat von Kommentare bleepingcomputer.com

    Great job, I managed to recover the password for 3 devices in this way, but I had to download 7z.log locally to be able to open it, when I tried from the command line I received a permissions error.

    Router absichern und das NAT für den Zugriff aus dem Internet auf das NAS deaktiveren.

    UPNP kontrollieren und ggf. abschalten, wenn hier automatisch Portfreigaben möglich sind.


    Eine alte HD ins NAS rein und mit dieser das NAS sauber neu aufsetzten.


    Wenn Datensicherung vorhanden, HDs vollständig mit einem Partitionsmanager löschen, geht über ein USB Dock.


    Dann mit den HDs das NAS neu aufsetzten, Backup zurück spielen und keinen Zugriff vom Internet mehr zulassen.


    Wenn kein Backup vorhanden ist, Daten abschreiben.

    Man kann ja neue HDs kaufen und das NAS mit diesen neu aufsetzten, die halten HDs dann in den Schrank legen und auf eine Lösung hoffen, wie man diese wieder entschlüsseln kann.

    Kann aber auch mal ein paar Jahre dauern.

    Zitat von dogfight76

    Ok, geht aber in dem Pfad ist kein 7z.log:

    Schade... genau das hat vor wenigen Minuten aber auch schon (wieder) jemand gemeldet... scheint wohl mehrere Varianten zu geben oder es unterscheidet sich je nach Gerät/FW.

    Danke für eure Tipps. Ich habe im Router jetzt mal die beiden NAS (TS 253Pro und TS 109) mittels MAC-Filter vom Internetzugriff ausgeschlossen und dann auch noch UPnP deaktiviert.


    Sobald ich die zweite Platte (mit den teilweise verschlüsselten Daten) gesichert habe, werde ich das TS 253Pro über den Q-Finder mit beiden (dann frisch formatierten Platten) neu aufsetzen. Ist das Vorgehen OK oder mach ich da noch was grundlegend falsch?

    Zitat von goofino

    Ist das Vorgehen OK oder mach ich da noch was grundlegend falsch?

    Ich denke das sollte so passen, wobei ich kein Malwareexperte bin und noch nicht viel über diese Malware bekannt ist.


    Zitat von dogfight76

    Ok, geht aber in dem Pfad ist kein 7z.log:

    Hast Du die Kommandos alle korrekt abgesetzt? Versuche nochmal die Kommandos nacheinander:


    cd /usr/local/sbin

    printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh

     chmod +x 7z.sh

    mv 7z 7z.bak

    mv 7z.sh 7z

    Jetzt solltest Du in /mnt/HDA_ROOT die entsprechende 7z Datei finden und mit zB WinSCP herunterladen.

    Zitat von dogfight76

    Noch eine Idee ?

    ne... war nur nen Versuch wert, falls er irgendwas nicht fressen wollte, als Du es zunächst versucht hast alles durch Semikolon getrennt einzugeben...

    Dann wohl warten bis eine Lösung gefunden wurde. :(

    Die Daten einfach löschen und die Daten vom Backup drauf kopieren bringt nichts weil die Software noch irgendwo drauf sitzt ?

    Ich nutze für meine Windows-PC "Malwarebytes Premium" gibt es sowas nicht für QNAP um die Schadsoftware zu entfernen ?


    So mal als Frage eines Noob...................