QNAP NASがランサムウェアに感染して7z化して全ファイルロックかけられた

NASのこと
2021.04.22
この記事は約5分で読めます。

終わった

追記 2021_0425

暗号化された解読キーを読み出すコマンドがあります。(ただランサムウェアが動いている時に限る)

動画解説

QNAP NASがランサムウェアで全ファイル消えました やるべき事と復旧方法

記事

QNAP NASのランサムウェアで7zip化→暗号化キーを読み出すコマンド
この動画で言ってた暗号化キーを読み出すコマンドです。 打つべきコマンド SSHで7zが実行されてるか確認 ps | grep 7z 7zが実行されている場合は、以下のコマンドをコピーして貼り付け(大事) ...
yuppe.net
2021.04.25

 

 

復旧ソフトでの復旧方法

内容

気付いたのは2021年4月21日(木曜日)。

あれ?NAS上にこんなに7z多かったっけ?

 

 

 

 

 

 

え?まじ?なんか全ファイル.7zになってない?しかもロックかかってるんだけども

 

 

大事な請求書すらロックされてるんだが??

 

 

 

というわけで僕のNAS上のファイルが全部7zで圧縮されロックかけられちゃいました

 

 

犯人からの文が置かれていた

!!!READ_ME.txtが置いていかれていました。

(Readmeはこれを読め!ってことね)

 

身代金の文
!!! All your files have been encrypted !!!

All your files were encrypted using a private and unique key generated for the computer. This key is stored in our server and the only way to receive your key and decrypt your files is making a Bitcoin payment.

To purchase your key and decrypt your files, please follow these steps:

1. Dowload the Tor Browser at "https://www.torproject.org/". If you need help, please Google for "access onion page".

2. Visit the following pages with the Tor Browser:

gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion

3. Enter your Client Key:

mYu7nDaGHfbf2yQdkKIDa6T46/BGeUHuItP3FVa2jy3n0oHThBw+0OdcSkqYB/AJeioGvqeClJD/u4yxnI43pWrW6QOlmpIRa9Hy/O/mzDnClbhLB93WS96FF888Zw2sQHu0UdNADZDjGF6tEdBcSSVavynmX/XPBm1PuAnTOUmIOca506wBGrLYdvTwU5EW2uLhGNsNJGj9kCntgAtKiJ0JGiUlAHfJ9guQcBbWIQnvApPpnku69F5zERdPW7hVusETS5WPlxknB8yC+zUfelyNJup6ls0AtTGFJEqz+eh9d2+GFN73WD8+SnlUQm6bo3yTwnnByGzM75Itvx1G2w==

はい。要約すると、

おまいらのファイルにパスワードかけたったwww

パスが教えて欲しかったらTORブラウザで0.01ビットコイン(約557.74ドル)を支払えwwwそしたら教えたるwww

 

 

 

いやまじでもう無理ぽ

 

どうしてこんなことになったのか

実はこれ自分だけの問題ではなく、世界中のQNAPにて起こっている問題みたいです。

Massive Qlocker ransomware attack uses 7zip to encrypt QNAP devices
A massive ransomware campaign targeting QNAP devices worldwide is underway, and users are finding their files now stored in password-protected 7zip archives.
www.bleepingcomputer.com

↑こちらの記事にも詳細が載っていました

どうやら、QNAPの脆弱性を狙ったランサムウェアのようです。

Myqnapcloudを設定していたとか、DDNSとかそっち系ではなくQNAPシステムの脆弱性からの侵入のようです。(おそらく)

自分はすぐMyqnapcloudの設定解除したけど関係ないかも

 

2chやフォーラムでも騒がれています。

 

騒がれています。とか他人事みたいに言ったけど俺が一番やばいです。まじで動悸がすごい。

大事なデータとか請求書とか何10TBのデータもあるので、まじでこれ終わったかもしれん

終わったかもしれん

 

 

とりあえず仕事なので今電車でこの記事を書いています。大規模なランサムウェアなのでQNAP様が何とかしてくれるのを祈っています。

 

復旧できなかったらNAS上の全ファイルが逝ったことになるので1ヶ月は立ち直れないと思います。察してね。

 

 

 

追記 2021_04月22日23時22分

phpの脆弱性が原因だったっぽい?です(ソースは5ch)

・ユーザーからadmin無効化

・Qnapmycloud停止

・ポート番号の8080を変更

でプロセスの7zipはいなくなったっぽい とりあえず

コメント

  1. ぽんぽこ より:
    2021年4月25日 11:34 AM

    自分も被害を受けました。
    シャットダウンをかけてしまったので7z.logも取得できず…
    以前、RAIDコントローラ自体が死んだことがあるのですが
    その時NASHDDとPCの直結からデータ救出ソフトでサルベージ出来た実績があるので
    7zにされる前の削除済み元ファイルをNASHDDから同じ方法で多少は復旧できないか、
    移し替え先HDDが確保できたら実験しようと思っています。

    返信
  2. せふ より:
    2022年8月29日 2:21 AM

    TS-420を使っていたら,今更ながら被害を受けていた。
    導入自体が,この日付以降だったから,ファームウェアは更新していたし,
    HBS自体のダウンロードもそれ以降(Ver.2)のですが…
    バックアップ用だったが,メディア管理にQsyncを使っていたせいで,元ファイルも消えた。
    動画ファイルが被害を受けていないので,気付くのに遅れて,パスワードもわからん。
    外部ストレージの名前を変更する機能がないようで,QRescueも動かんで,「終わりだ」って気分。
    Qnapmycloudはメディアを外でも見たいと思って,付けちゃってたんだよなぁ。
    セキュリティサポートはまだ残っているはずなのに,やってられん。
    サポートに連絡しても,音沙汰ないし…
    QNAPは2度と買いたくないわ。

    返信
    • ゆっぺ ゆっぺ より:
      2023年2月11日 12:57 PM

      本当にご愁傷さまでした…
      自分はもうwindowsもう1台組んでVPN立てて外部アクセスするようにしました
      HDDが独自フォーマットのNASやQNAPはもう買うことはないでしょうね…

      返信
タイトルとURLをコピーしました