PR_banner_security_

Aggiornamento urgente per QNAP

Risposta agli attacchi Qlocker Ransomware: azioni necessarie per proteggere il NAS QNAP

Taipei, Taiwan, 22 aprile 2021 – QNAP® Systems, Inc. (QNAP), uno dei principali innovatori di soluzioni di elaborazione, rete e archiviazione, ha rilasciato oggi una dichiarazione in risposta ai recenti rapporti degli utenti e alla copertura mediatica che due tipi di ransomware (Qlocker eCh0raix) prendono di mira QNAP NAS e crittografano i dati degli utenti per il riscatto. QNAP raccomanda vivamente a tutti gli utenti di installare immediatamente l’ultima versione di Malware Remover ed eseguire una scansione antimalware su QNAP NAS. La console multimediale, il componente aggiuntivo Media Streaming e le app Hybrid Backup Sync devono essere aggiornate all’ultima versione disponibile per proteggere ulteriormente il QNAP NAS dagli attacchi ransomware. QNAP sta lavorando urgentemente a una soluzione per rimuovere il malware dai dispositivi infetti.

QNAP ha rilasciato una versione aggiornata di Malware Remover per sistemi operativi come QTS e QuTS hero per affrontare l’attacco ransomware. Se i dati dell’utente sono crittografati o vengono crittografati, il NAS non deve essere spento. Gli utenti devono eseguire immediatamente una scansione del malware con l’ultima versione di Malware Remover, quindi contattare il supporto tecnico QNAP su https://service.qnap.com/.

 

Per gli utenti non interessati, si consiglia di installare immediatamente l’ultima versione di Malware Remover ed eseguire una scansione antimalware come misura precauzionale. Tutti gli utenti devono aggiornare le proprie password con quelle più sicure e le app Console multimediale, Componente aggiuntivo per streaming multimediale e Sincronizzazione backup ibrido devono essere aggiornate all’ultima versione disponibile. Inoltre, si consiglia agli utenti di modificare la porta di rete predefinita 8080 per accedere all’interfaccia operativa del NAS. I passaggi per eseguire l’operazione sono disponibili nelle best practice per la sicurezza delle informazioni offerte da QNAP (https://qnap.to/3daz2n). I dati archiviati sul NAS devono essere sottoposti a backup o nuovamente sottoposti a backup utilizzando la regola di backup 3-2-1, per garantire ulteriormente l’integrità e la sicurezza dei dati.

Cosa fare se l'infezione è in corso:

Quindi consigliamo vivamente di aggiornare Multimedia Console, HBS3 e Media Streaming Add-on alla versione più recente.
Inoltre, modificare la porta web predefinita 8080 (e non riavviare o spegnere il NAS).

NOTA IMPORTANTE:
Se il processo crittografico ha completato la propria esecuzione o se il NAS è stato riavviato/spento, le procedure riportate di seguito nella comunicazione non possono essere più applicate.
In quel caso l’unico modo per ripristinare i dati è tramite un backup precedente dopo aver re-inizializzato il NAS.

Malware Remover contiene una nuova regola in grado di analizzare l’attacco ransomware e recupererare la chiave di crittografia se la crittografia è ancora in corso o se il NAS non è stato riavviato/spento.

Se il processo di criptazione dovesse essere ancora in running (NON riavviare il NAS o spegnerlo), basterà seguire questo workflow per recuperare la chiave di criptazione:

Metodo 1

1. Install Malware Remover from APP Center and run it manually;
2. Connect nas over ssh:
https://www.qnap.com/en/how-to/knowledge-base/article/how-to-access-qnap-nas-by-ssh
3. Use the command below to find if ransomware is still in progress.  
cp `getcfg MalwareRemover Install_Path -f /etc/config/qpkg.conf`/7z.log /share/Public
4. If command back ‘No such file or directory’ means the NAS has been rebooted or encryption process has finished, if that is the case, unfortunately there is nothing that can be done to help;
5. If command has been executed without issue, you can see 7z.log in NAS at the Public folder, which will include password;
6. Password will look like bellow:
a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [FOLDER PATH]
mFyBIvp55M46kSxxxxxYv4EIhx7rlTD is password
7. You can reboot NAS and use the password to decrypt the files;
8. If you don’t know how to read the password, please, you may send to QNAP Support the complete message with the NAS diagnostic log.

Metodo 2

1. Connect NAS over ssh;
https://www.qnap.com/en/how-to/knowledge-base/article/how-to-access-qnap-nas-by-ssh
2. Use the command below to find out if ransomware is still in progress.
ps | grep 7z
3. If there is no 7z, it means the NAS has been rebooted or the encryption process has been finished, if that is the case, unfortunately there is nothing that can be done to help;
4. If 7z is running, copy/paste command below and press enter(1 line) 
cd /usr/local/sbin; printf ‘#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000′ > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
5. Wait a couple minutes to use cat to grep password;
cat /mnt/HDA_ROOT/7z.log
It will look like bellow:
a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [FOLDER PATH]
mFyBIvp55M46kSxxxxxYv4EIhx7rlTD is password
6. You can reboot NAS and use the password to decrypt the files;
7. If you don’t know how to read the password, please, you may send to QNAP Support the complete message with the NAS diagnostic log.

In allegato una guida QNAP per aumentare la sicurezza del proprio NAS quando viene esposto su internet:
https://www.qnap.com/it-it/how-to/faq/article/quali-sono-le-migliori-prassi-per-migliorare-la-sicurezza-del-nas

Faccia riferimento al seguente link con i consigli sulla sicurezza del proprio NAS:
https://www.qnap.com/en/security-advisories

Consigliamo inoltre di iscriversi alla newsletter QNAP sulla sicurezza, continuamente aggiornata:
https://www.qnap.com/solution/topics-of-interest/it-it/

Il supporto QNAP non ha ulteriori consigli o workflow oltre quelli indicati,

Per gli utenti che avessero difficoltà ad eseguire quanto riportato possono rivolgersi a personale tecnico esterno di propria fiducia.

Add a Comment

Your email address will not be published. Required fields are marked *