wie genau ist der Angriffsvektor ?
Ich glaube so richtig bekannt ist das noch nicht. QNAP hatte anfangs vermutet, dass CVE-2020-36195 ausgenutzt wurde, was ich mir aber nur schwer vorstellen kann, da sonst keine Geräte mit QTS 4.5.1 oder 4.5.2 betroffen wären. Die Tatsache, dass CVE-2021-28799 gestern erst bekannt/ öffentlich wurde (und in dem Zuge auch gefixt) lässt eher vermuten dass die Angriffe darüber gelaufen sind.
Der Angriff scheint sich schonmal gelohnt zu haben:
https://www.heise.de/news/Jetz…rity.atom.beitrag.beitrag
Btw: Ich habe gelesen, dass die Malware angeblich auch Snapshots entfernt haben soll, damit man sich daraus keine Daten mehr wiederherstellen kann.
Kann das jemand bestätigen?
Ein sehr interessanter Absatz aus diesem Artikel:
...
In einem Beitrag hat Qnap weitere Hinweise gesammelt, um Netzwerkspeicher vor Attacken zu schützen. Generell gilt, dass man solche System nur wenn es gar nicht anders geht ans Internet hängt. Wenn das unbedingt notwendig ist, sollte man den Zugriff mit starken Passwörtern schützen.
...
Woher kenne ich nur diese Empfehlung... ? 
Ach ja, sagen wir hier ja immer wieder. 
Gruss
Das mit den starken Passwörtern bringt nur nichts bei Sicherheitslücken, falls jemand denkt oh mich betrifft es nicht ich habe ein starkes Passwort
Ich habe es zwar eben im anderen Thread geschrieben, aber es gehört auch hier rein:
Wer gehackt worden ist, möge schauen, ob es eine Datei
/share/<App-Installationsvolume>/.qpkg/MalwareRemover/7z.log gibt.
Wenn der Malware-Scan von Qnap gelaufen ist, während die Verschlüsselung noch im Gange war, dann steht da das Passwort zum Entschlüsseln drin.
Könnte das Passwort auf der ausgebauten und unformartierten 2. HDD sein ?
Da mein QNAP mit der anderen HDD ja wieder frisch aufgesetzt wurde.
Da die beiden 4TB HDD sich ja im RAID gegenseitig gesichert haben müsste die Datei doch eventuell da drauf sein, oder ?
Gruß
Und während die Anderen in dem Verzeichnis nachschauen, schaust du bitte mal in die Forenregeln zum Thema Codeblocks und Inline Code.
Wer gehackt worden ist, möge schauen, ob es eine Datei ...
Jetzt auch offiziell von Qnap:
Ich bin augenscheinlich nicht betroffen, habe mir aber trotzdem besagte Datei mal angeguckt.
/usr/local/sbin/7z.orig "x" "-so" "./QKVM.tar.7z"
/proc/11578:/bin/sh
Uid: 0 0 0 0
/proc/9620:/bin/sh
Uid: 0 0 0 0
/proc/9619:/bin/sh
Uid: 0 0 0 0
/proc/9520:/bin/sh
Uid: 0 0 0 0
/proc/9519:/bin/sh
Uid: 0 0 0 0
/proc/7863:/usr/local/sbin/qpkgd
Uid: 0 0 0 0
/proc/9853:/usr/local/sbin/qpkgd
Uid: 0 0 0 0Mich hat der Sch..... heute auch getroffen.
Hab mich heute durch Zufall auf dem NAS eingeloggt.
Wir wurde direkt ein Update für div Apps angeboten, hab ich dann auch gemacht.
Zwischenzeitlich fiel mir auf, das in jedem Ordner eine *.txt liegt, über die ich mich gewundert, die ich mir aber nicht genauer angesehen hatte.
Dann kam die Meldung, das 2x Schad Software gefunden und gelöscht wurde,
ich aber ein Reboot zu vollständigen löschen machen sollte.
Wärend des reboots hat man ja Zeit und mir wurde wärmer und wärmer ums Herz.
Nach dem einloggen, sah ich mir die !!!READ_ME.txt mal genauer an.
ZitatAlles anzeigen!!! All your files have been encrypted !!!
All your files were encrypted using a private and unique key generated for the computer. This key is stored in our server and the only way to receive your key and decrypt your files is making a Bitcoin payment.
To purchase your key and decrypt your files, please follow these steps:
1. Dowload the Tor Browser at "https://www.torproject.org/". If you need help, please Google for "access onion page".
2. Visit the following pages with the Tor Browser:
gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion
3. Enter your Client Key:
xxxxxxxxx (hab ich entfernt) xxxxxxxxxxxxxx
Jetzt steh ich da mit etwa 50% in 7z verschlüsselte Daten.
Da ich mir nicht sicher war, noch weiter Verschlüsselt wird, fuhr ich die Kiste Sicherheitshalber runter, um nach Lösungen zu suchen.
Model TS-451 mit aktueller Firmware
Jetzt steh ich da mit etwa 50% in 7z verschlüsselte Daten.
Da ich mir nicht sicher war, noch weiter Verschlüsselt wird, fuhr ich die Kiste Sicherheitshalber runter, um nach Lösungen zu suchen.
Nur ein paar Posts weiter oben....
Wer gehackt worden ist, möge schauen, ob es eine Datei
/share/<App-Installationsvolume>/.qpkg/MalwareRemover/7z.log gibt.
Wenn der Malware-Scan von Qnap gelaufen ist, während die Verschlüsselung noch im Gange war, dann steht da das Passwort zum Entschlüsseln drin.
Wie schauts aus ?
Und wie gut sehen die externen Backups aus ?
Runterfahren war leider genau verkehrt!
Ja , ich weiss , hätte hätte Fahrradkette.
Könnte mich selber auch Würgen.
Von den richtig wichtigen daten habe ich Backups.
Und da gibts daten von der Kategorie 2 wie Musik oder sonstiges, wo man sich dann wirklich ärgert.
Backups sind leider auch nur so gut, wie sie gepflegt werden.
Hier noch ein Video zum Thema
Finding the password for Qnap Ransomware Qlocker - YouTube
Hoffe, ich habe da jetzt nicht gegen eine Forenregel verstoßen.
Runterfahren war leider genau verkehrt!
Richtig.
Was würdest Du machen?
Für mich selbst kann ich die Frage in solch einer Situation nicht beantworten. 
Blödes Ding, und ich will nix von Backups hören...
Da er von Malwareremover zum Neustart aufgerufen wurde, kann das schon ganz gut aussehen mit dem oben erwähnten Tip. Bisher aber leider ignoriert.
tiermutter so wie schon geschrieben wirde, während der Verschlüsselung das Kennwort notieren.
UPnP endlich mal deaktivieren, das NAS wenn überhaupt nur via VPN ins Netz setzen und und und
Ihr habt sowas von Recht christian und dolbyman.
Jetzt wissen wir es oder könnten es wissen.
Mir ging um die Situation "der ersten Bekanntschaft auf dem eigenen NAS".
Da lässt Du das Ding nicht machen, sondern hast Panik und schaltest ab! Für mich verständlich. Bei einer andren Ransomware wäre es eventuell genau richtig gewesen.
Da mein Malware Remover ja gemeckert und etwas gefunden hat, könnte es sein das sich da noch was, trotz reboot, befindet
ZitatIf you have run QNAP's Malware Remover tool, the program will have moved the 7z.log to '/share/CACHEDEV1_DATA/.qpkg/MalwareRemover/7z.log'
Werde ich morgen mal mein Glück versuchen und berichten.
Heute habe ich mich schon genug geärgert
kann mir jemand helfen:
wo und wie kann ich die vielfach angegebenen (dos-ähnlichen) Befehle /Kommandos eingeben?
cd /usr/local/sbin
printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh
chmod +x 7z.sh
mv 7z 7z.bak
mv 7z.sh 7z
gibt es auf der NAS auch so eine Art Eingabeaufforderung, wie in Windows?
danke euch
Martin
