So stellen Sie den Qlocker 7z-Schlüssel auf dem betroffenen QNAP-NAS wieder her

27. April 2021 Matt Mills So erreichen 0

Alle Clients der NAS-Server des Herstellers QNAP haben in der vergangenen Woche einen Ransomware-Angriff erlitten, der speziell auf ihre Server gerichtet war und verschiedene Schwachstellen ausnutzte, die in verschiedenen Softwareprogrammen des Unternehmens vorhanden waren. Derzeit sind diese Sicherheitsanfälligkeiten bereits behoben. Sie müssen jedoch sowohl das QuTS-Betriebssystem als auch alle auf Ihrem NAS über das App Center installierten Anwendungen auf die neueste Version aktualisieren. In diesem Artikel erfahren Sie heute, wie Sie den Entschlüsselungsschlüssel wiederherstellen, sofern Sie derzeit Opfer von Ransomware sind.

Leider ist noch nicht bekannt, wie der Entschlüsselungsschlüssel für diese Ransomware, die QNAP NAS betroffen hat, abgerufen werden kann, wenn sie bereits vollständig verschlüsselt wurde, es sei denn, Sie befolgen die Anweisungen und zahlen den Cyberkriminellen, die dies getan haben, 0.01 Bitcoin. Wenn Sie derzeit Opfer einer Dateiverschlüsselung sind, haben Sie möglicherweise die Möglichkeit, diesen verwendeten Verschlüsselungs- / Entschlüsselungsschlüssel wiederherzustellen.

Stellen Sie den Qlocker 7z-Schlüssel auf dem betroffenen QNAP-NAS wieder her

Wie funktioniert die Qlocker-Dateiverschlüsselung?

Die Verschlüsselung der Dateien auf dem NAS-Server wurde über das 7z-Dienstprogramm durchgeführt, das standardmäßig auf dem QNAP NAS-Server installiert ist. Diese allgemein bekannte Software ermöglicht das Komprimieren und Dekomprimieren von Dateien und Ordnern. Mit dieser Software können wir auch verschlüsseln den Inhalt der Dateien mit einem Passcode, wie bei jedem Linux or Windows-basiertes Betriebssystem. Cyberkriminelle scannen alle Volumes auf dem NAS und verschlüsseln die Dateien in den verschiedenen Ordnern.

Sie waren auch für das Löschen der von uns konfigurierten Snapshots oder „Snapshots“ verantwortlich. Die Snapshots sind noch vorhanden, aber vollständig leer. Derzeit ist noch nicht bekannt, wie die Informationen mithilfe dieser „Snapshots“ wiederhergestellt werden können. Es ist möglich, dass bestimmte Daten und Metadaten aus diesen gelöschten Snapshots wiederhergestellt werden können, da sie blockbasiert sind und wiederhergestellt werden können.

Wenn Sie von dieser Ransomware nicht betroffen sind, empfehlen wir Ihnen, den NAS auf die neueste Version des Betriebssystems zu aktualisieren, alle Anwendungen zu aktualisieren und diese zu befolgen vollständige Anleitung zum Schutz von QNAP NAS .

So stellen Sie den Entschlüsselungsschlüssel aus Qlocker-Dateien wieder her

Derzeit gibt es zwei Methoden, um den Entschlüsselungsschlüssel wiederherzustellen. Diese Funktion funktioniert jedoch nur, wenn die Ransomware sofort funktioniert. Wenn Sie bereits von Ransomware betroffen sind, helfen Ihnen diese Methoden nicht weiter.

Methode 1

  1. Wir stellen als Administrator eine SSH-Verbindung zum NAS-Server her, klicken auf "Q" und dann auf "Y", um die Konsole ohne den Assistenten aufzurufen.
  2. Wir führen den Befehl «ps | aus grep 7z ». Wenn kein Prozess ausgeführt wird oder wir den NAS neu gestartet haben, schlechte Nachrichten, können wir den Schlüssel nicht wiederherstellen.
  3. Wenn der 7z gerade funktioniert, müssen wir den folgenden Befehl ausführen: cd / usr / local / sbin; printf '#! / bin / sh necho $ @ necho $ @ >> / mnt / HDA_ROOT / 7z.lognsleep 60000 '> 7z.sh; chmod + x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
  4. Nach der Ausführung warten wir einige Minuten und führen den folgenden Befehl aus: cat /mnt/HDA_ROOT/7z.log
  5. In diesem Protokoll sehen wir einen ähnlichen Inhalt: a -mx = 0 -sdel -p mFyBIvp55M46kSxxxxxYv4EIhx7rlTD [PFAD]
  6. Dieser fett gedruckte Schlüssel ist das Kennwort, mit dem die Informationen verschlüsselt werden und mit dem der Schlüssel entschlüsselt werden muss.

Methode 2

  1. Wir installieren das Malware Remover-Programm aus dem App Center und scannen unseren Computer.
  2. Wir stellen als Administrator eine SSH-Verbindung zum NAS-Server her, klicken auf "Q" und dann auf "Y", um die Konsole ohne den Assistenten aufzurufen.
  3. Wir führen den folgenden Befehl aus: cp `getcfg MalwareRemover Install_Path -f /etc/config/qpkg.conf`/7z.log / share / Public
  4. Wenn die Konsole die Meldung "Keine solche Datei oder kein solches Verzeichnis" zurückgibt, bedeutet dies, dass wir nichts tun können, der NAS neu gestartet wurde oder der Datenverschlüsselungsprozess abgeschlossen ist.
  5. Wenn kein Fehler zurückgegeben wird, führen wir Folgendes aus: cat /share/Public/7z.log. Und wir erhalten den Schlüssel im gleichen Format wie zuvor: a -mx = 0 -sdel -p mFyBIvp55M46kSxxxxxYv4EIhx7rlTD [PFAD]

Wir bestehen darauf, dass diese beiden Methoden nur funktionieren, wenn die Ransomware funktioniert und wenn wir den NAS dabei nicht neu gestartet haben. Andernfalls ist noch nicht bekannt, wie die betroffenen Dateien wiederhergestellt werden können. Wenn Sie Snapshots oder Snapshots konfiguriert haben, können die Informationen zwar wiederhergestellt werden, aber diese Ransomware hat diese erstellten Snapshots auch "geleert".