Ransomware Qlocker "Culer"

Zitat von dogfight76

So mal als Frage eines Noob...................

Befallene Platten macht man platt, also extern sämtliche Partitionen löschen und dann formatieren. Danach dürfen die wieder ins NAS und das wird dann offline komplett neu aufgesetzt.

In sensitiven Bereichen wird solche Hardware komplett geschreddert, denn es gibt auch Biester, die sich in die Plattenfirmware setzen und nicht entfernbar sind.

Ok, also Platten ausbauen ! Am PC über USB formatieren, dann wieder einbauen und Qnap-Software installieren. Danach das Backup des externen Qnap wieder einspielen ?

Darf man Settings-Backup einspielen ?

Gibt es eine Anleitung dazu ?

Ich würde für mich machen:

Werksreset/Raidlöschung als erste Plattenreinigung, dann Platten raus und extern Partitionen löschen, dann wieder ins NAS und neu initialisieren. Je nach Stand meiner Backups würde ich dann weiter verfahren, also komplett neue Struktur und dann nur Daten vom Backup, oder gar den Weg mit Settings. Das hängt sicher vom zwischenzeitlichen Softwarestand und meinem Vertrauen zu den Backups ab.

Da mein NAS kein Internet darf und bisher unverseucht blieb musste ich diesen Weg noch nicht gehen. Ich verlasse mich rein auf Datenbackup, das rein Ordnerbasiert vorliegt. Kein Getüdel mit irgendwelchen Programmen dazwischen.

nur mal als Zwischenstand zu den Fehlversuchen an die 7z.log zu kommen:

Zitat von Kommentare bleepingcomputer.com

It seems that if someone made a reboot to the system, the option to get the 7z.log file has been lost. I made the same "mistake", i run a firmware update and then reboot the machine so now the 7z.log is not present in the system

dogfight76 : kannst Du das mit dem Reboot bestätigen?

Hallo,

Zitat von tiermutter

kannst Du das mit dem Reboot bestätigen?

nein, habe keinen Reboot gemacht.

Heute jedenfalls nicht. Und gestern war das noch nicht.........glaube ich.

Weil Nachts fährt der QNAP für 3 Stunden runter und dann morgens um 06:00UHr wieder hoch.

EDIT zum Kommentar von Qnap: https://www.qnap.com/nl-nl/new…ctions-to-secure-qnap-nas

Lese ich mit meinem miesen Englisch daraus das die aktuellste Version vom Malware Remover die Software findet und löscht und man dann seine Passwörter ändern soll und den Port 8080 ändert ?

Port ist egal welche 4stellige Kombi ?

Gruß

Man sollte auch mit dem neuen Remover keinen Zugriff von außen zu lassen, sonst kommt in x Monaten der nächste Wurm vorbei und befällt dein NAS.

Aber deine Entscheidung, steht dir ja auch frei die Haustür offen stehen zu lassen, wenn du in den Urlaub fährst.

Habe ich ja verstanden, aber darum kümmer ich mich später.

Jetzt geht es mir darum ob der neue Malware Remover die Schadsoftware entfernen kann ohne alles Platt zumachen.

Für den Malware Remover wird mir im App-Center aber kein Update angezeigt. Woher bekommt man den ?

Gruß

Was den MR angeht... Keine neue Version.

Eventuell neue Definitionen (wie bezieht er die denn bzw. wo sehe ich das?).

Der MR wird aber in jedem Fall nicht Deinen Daten wiederherstellen können.

Zitat von tiermutter

Der MR wird aber in jedem Fall nicht Deinen Daten wiederherstellen können.

Die Dateien habe ich ja alle, dank Backup !

Aber die Schadsoftware muss weg, und da ist die Frage ob das mit der neuen Version von MR geht

Gruß

Wenn du QNAP schon nicht vertrauen kannst sicher zu Programmieren (hardcoded credentials) traust du denen dann zu das Programm sicher zu entfernen ?

Also Platten raus und das Ding 'hart' neu aufsetzen.

Habe es mir nicht angeschaut, vielleicht hilft es (Thema Entschlüsselung)

Das ist genau der Weg der weiter oben beschrieben wird

Funktioniert hier nicht.

Gruß

Ok... Schon wieder schade

Ich klinke mich dann mal langsam aus, das Thema hat mich mehr gepackt als ich scheinbar an sinnvollen oder hilfreichen Beiträgen beisteuern kann.

mich hat der Scheiß auch getroffen, habe bemerkt da die NAS ungemein beschäftigt war und ich nachsehen wollte was los ist, dachte erst an einen Befall über PC da Qsync auch aktiv war, dann aber Qsync abgeschaltet und gemerkt das die NAS kompromittiert wurde! bis ich es bemerkt hatte war schon ein Teil verschlüsselt.

Was wichtig ist und was bei mir geklappt hat:

Malware Removerr Updaten und starten, FW Update nach dem Scan durchführen, nachsehen ob der 7z Prpzess im Resourcenmonitor noch läuft.

Habe Gott sei dank 2 separate Datensicherungen auf Externer US Festplatte die wöchentlich läuft.

Alles von der Nas gelöscht und von Extern wieder draufgespielt,

habe zusätzlich die NAS aus jeglichen Internetverbindungen getrennt, bzw die Ports im Router gesperrt! Per SSH und WinSCP nochmal alle Daten geprüft.

Habe jetzt alles wieder sauber nach einem Tag. Allerdings werde ich das Teil nicht mehr im Internet präsentieren, bzw nur im Heimnetz per Fritz VPN zugreifen!

schwache Leistung von Qnap, solche Lücken nicht zu kennen!

Zitat von Drahrego

schwache Leistung von Qnap, solche Lücken nicht zu kennen!

Die Lücke hast Du Dir doch selbst gebaut mit den Portfreigaben!

Welche Firmware war denn bei dir zum Zeitpunkt des Angriffs aktiv?

Welche Dienste waren vom Internet aus erreichbar?

War in den Logs was zu finden?

Wir nutzen die QNAP NAS lediglich als lokales Backupziel per SMB, HybridBA Sync zum kopieren dieser Backups auf ext. HDD und den OPENVPN Server.

Für den VPN Zugriff ist zusätzlich ein MYQNAPCLOUD Account angelegt, der aber auch nur die DDNS Dienste nutzt.

Freigegebene Ports zum Internet 1194 (OpenVPN)

Laut dem Sec. Adv. von QNAP:

Mod: Nicht deklariertes Zitat ohne Quellenangabe ... korrigiert! Forenregeln und Die Zitat Funktion des Forums richtig nutzen

Zitat von Security Advisory: QSA-21-13

"If exploited, the vulnerability allows remote attackers to log in to a device."

Inwiefern seht ihr hier Handlungsbedarf, wie genau ist der Angriffsvektor ?

Ich komme jetzt überhaupt nicht mehr auf den qnap.

QFinder zeigt das hier:

Q´Finder.jpeg

Ich komme weder über Putty noch WinSCP auf den QNAP.

Und jetzt ?