QNAP – ważna informacja dotycząca bezpieczeństwa danych

Producent rozwiązań NAS – firma QNAP – poinformował o trwającym od wczoraj ataku ransomware na urządzenia klientów. Dane zostają spakowane do archiwum 7z, zaszyfrowane i zabezpieczone hasłem, za którego ujawnienie cyberprzestępcy żądają okupu. Wektor ataku najprawdopodobniej obejmuje podatność, która już wcześniej została załatana, zatem użytkownicy, którzy korzystają z aktualnych wersji firmware oraz aplikacji, nie są narażeni na niebezpieczeństwo.

Szczegóły w artykule.

Producent poinformował także w jaki sposób można odzyskać dane na etapie ich szyfrowania. Poniższa instrukcja umożliwia poznanie unikalnego klucza szyfrującego, który jest niezbędny do odszyfrowania plików 7z. Najważniejsze jest, aby nie zrestartować urządzenia, które stało się celem ataku.

1. NIE RESTARTUJ NAS!

2. Połącz się z urządzeniem przez SSH

3. Wykonaj poniższe polecenie, żeby sprawdzić czy trwa szyfrowanie:

ps | grep 7z

4. Jeśli 7z działa, wykonaj komendę:

cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000′ > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;

5. Poczekaj kilka minut i przy użyciu „cat” odczytaj klucz szyfrujący:

cat /mnt/HDA_ROOT/7z.log

Szukany wpis wygląda podobnie do

a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [FOLDER PATH]

mFyBIvp55M46kSxxxxxYv4EIhx7rlTD To klucz do odszyfrowania plików – uwaga, dla każdego NAS może być inny!

6. Zrestartuj NAS i przy użyciu klucza mFyBIvp55M46kSxxxxxYv4EIhx7rlTD odszyfruj pliki.

 

Gorąco zachęcamy do bieżącego aktualizowania zarówno firmware urządzeń QNAP, jak i działających na nich aplikacji. W przypadku dodatkowych pytań, zapraszamy do kontaktu.