【緊急】QNAPのNAS使ってるやつちょっと来い

1 ::2021/04/27(火) 13:34:39.51 ID:85l2NYvC0.net ?2BP(1500)
https://img.5ch.net/ico/tarako2.gif
QNAP社のNASを狙うランサムウェア(Qlocker)について
4月 24, 2021
Qlockerが流行中
幸いにも私の家のTS-251Dは感染していないようですが、QNAPのNASを狙うランサムウェア Qlockerが流行中のようです。

色々なフォーラムの情報をみてまわってみたのですが、どうやら
・Multimedia Console、Hybrid Backup Syncが使用しているSQLの脆弱性をついて感染
・一度感染すると、7zのパスワード付き圧縮機能を使って、NAS内部のファイルを次々に暗号化していく。
という動きをしているようです。

QNAPさんから公式の案内も出ていて、それによると感染しないためには、
・ファームウェアを最新版に更新する。
・Multimedia Console、Multimedia Streaming Add-on、Hybrid Backup Syncを最新版に更新する
・Malware Removerを実行する
・webUIのポートをデフォルトの8080から変更する。
といった対応が必要なようです。

万が一感染してしまった場合は・・・?
万が一感染してしまった場合、ご自分のファイルが次々に”.7z”ファイルとなっていくようなので、そのあたりの挙動から感染してしまっていることがわかるようです。
また、まだ暗号化が進行中の状態であれば、7zファイルに細工をすることで、パスワード付き圧縮処理の「パスワード」を入手することができるようです。

その方法は、

以下ソース
https://itgadgettrip.blogspot.com/2021/04/qnapnasqlocker.html

28 ::2021/04/27(火) 14:10:11.38 ID:mHEYkoss0.net

QMA?

20 ::2021/04/27(火) 13:55:23.29 ID:4Q8JVKr00.net

Rに焼くから大丈夫。

31 ::2021/04/27(火) 14:16:16.03 ID:KRPZO7X90.net

うちのはnetgearだわ

9 ::2021/04/27(火) 13:42:30.36 ID:5Do3FLoY0.net

職場も家もQMAPだ

5 ::2021/04/27(火) 13:38:56.13 ID:KubCYoTR0.net

リナックスがベースなのにウィルスとかあるの?

33 ::2021/04/27(火) 14:20:14.72 ID:TQ4cooUV0.net

>>19
そのうぶな中学生も30後半な現実

15 ::2021/04/27(火) 13:46:19.70 ID:85l2NYvC0.net

>>14
スレ立てるん忘れてたんや
すまんw

21 ::2021/04/27(火) 13:55:35.87 ID:JbpSc/n10.net

全然わからんが鯖の話なのか

50 ::2021/04/27(火) 15:40:50.19 ID:fcKb1COV0.net

使うときだけ電源入れるようにした

8 ::2021/04/27(火) 13:42:22.47 ID:85l2NYvC0.net

>>5
なぜLinuxだとウィルスがないと思ってたのか知りたいw

30 ::2021/04/27(火) 14:12:27.37 ID:85l2NYvC0.net

>>1>>29続き
方法1
APPCenterからMalwareRemoverをインストールし、手動で実行します。
nasをssh経由で接続します
以下のコマンドを使用して、ランサムウェアがまだ進行中であるかどうかを確認します。
cp’getcfg MalwareRemover Install_Path -f /etc/config/qpkg.conf’/7z.log / share / Public
コマンドバック ‘そのようなファイルまたはディレクトリがない’は、NASが再起動されたか、暗号化プロセスが終了したことを意味します。その場合、残念ながら、支援できることは何もありません。
コマンドが問題なく実行された場合、NASのパブリックフォルダーにある7z.logを確認できます。これにはパスワードが含まれます。
パスワードは次のようになります。
a -mx = 0 -sdel -p mFyBIvp55M46kSxxxxxYv4EIhx7rlTD [フォルダーパス]
mFyBIvp55M46kSxxxxxYv4EIhx7rlTDはパスワードです
NASを再起動し、パスワードを使用してファイルを復号化できます。
パスワードの読み方がわからない場合は、NAS診断ログを含む完全なメッセージをQNAPサポートに送信してください。

方法2
ssh経由でNASを接続する
以下のコマンドを使用して、ランサムウェアがまだ進行中であるかどうかを確認します。
ps | grep 7z
7zがない場合は、NASが再起動されたか、暗号化プロセスが終了したことを意味します。その場合、残念ながら、支援できることは何もありません。
7zが実行されている場合は、以下のコマンドをコピーして貼り付け、Enterキーを押します(1行)
cd / usr / local / sbin; printf ‘#!/ bin / sh ¥ neocho $ @ ¥ neocho $ @ >> / mnt / HDA_ROOT / 7z.log ¥ nsleep 60000’> 7z.sh; chmod + x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
catを使用してパスワードをgrepするまで、数分待ちます。
cat /mnt/HDA_ROOT/7z.log
次のようになります。
a -mx = 0 -sdel -p mFyBIvp55M46kSxxxxxYv4EIhx7rlTD [フォルダーパス]
mFyBIvp55M46kSxxxxxYv4EIhx7rlTDはパスワードです
NASを再起動し、パスワードを使用してファイルを復号化できます。
パスワードの読み方がわからない場合は、NAS診断ログを含む完全なメッセージをQNAPサポートに送信してください。
最終更新日:2021-04-23

39 ::2021/04/27(火) 14:38:35.65 ID:AU+BgFpc0.net

>>38
100Mbpsしか出ないから録画機にしか使えん

11 ::2021/04/27(火) 13:42:58.52 ID:SqqRoUjx0.net

SynologyのRouterなのでセーフ

29 ::2021/04/27(火) 14:12:00.32 ID:85l2NYvC0.net

>>1
https://www.qnap.com/en/how-to/faq/article/what-should-i-do-when-found-nas-is-encrypting-my-files-by-7z

サポート
nasが7zでファイルを暗号化していることがわかった場合はどうすればよいですか?
ネットワークとセキュリティ-セキュリティ
適用モデル:すべてのNASシリーズ
適用されたファームウェア:すべてのQTSファームウェアバージョン

この攻撃はCVE-2020-36195およびCVE-2021-28799に関連していると考えられます
https://www.qnap.com/en/security-advisory/qsa-21-11
https://www.qnap.com/en/security-advisory/qsa-21-13

マルチメディアコンソール、HBS3ハイブリッドバックアップ同期、メディアストリーミングアドオンを最新バージョンに更新し、デフォルトのWebポート8080を変更することを強くお勧めします(NASを再起動またはシャットダウンしないでください)。ファームウェアバージョン4.2.6およびHBS2のレガシーモデルを使用している場合、上記の攻撃の影響を受けません。
また、新しいマルウェアリムーバーポリシーをリリースしました。これは、身代金攻撃をスキャンし、暗号化がまだ進行中の場合に暗号化キーを回復します。
NASをすでにシャットダウン/再起動した場合、または暗号化が完了している場合は、残念ながら、まだ解決策はありません。その時点で、データは以前にバックアップを行った場合にのみ回復可能になります。
暗号化がまだ進行中であることがわかった場合(NASを再起動またはシャットダウンしてはなりません)、プロセスの実行中に、以下の手順に従って暗号化キーを取得してください。

56 ::2021/04/27(火) 17:21:44.71 ID:eFVKVFz20.net

>>54
再ダウンロードすればいいじゃん。
割れならざまぁ

19 ::2021/04/27(火) 13:53:29.45 ID:hdMmKSA30.net

巨乳お姉さんトイレでオナニー.7z
ロシア峰不二子.7z
ウブな中学生大胆フェラ.7z

63 ::2021/04/29(木) 11:14:14.30 ID:Nt8zhWki0.net

TS-853 proってひと昔の使ってるけど
常にアップしてるし必要以外スリープにしてるおかげか
マイニングも.7zの被害もない

57 ::2021/04/27(火) 18:02:46.56 ID:jEn0NzhN0.net

だからシノロジーにしとけと

34 ::2021/04/27(火) 14:23:09.10 ID:LY+BKRsN0.net

asustorなのでせふせふ

49 ::2021/04/27(火) 15:37:12.49 ID:zSYIFmov0.net

one driveのバックアップでシンクロしていたのでone driveまで全て7zになった

61 ::2021/04/28(水) 22:41:07.21 ID:ka8WK3zE0.net

こっちなんて15年前の悪評高きプラ寝糞のNASが未だに稼動してる
他には多分もう誰も使っていないと思う
そして多分ハッカーに眼中に入れてくれさえもしてくれない

54 ::2021/04/27(火) 16:10:10.62 ID:mEuDKvfV0.net

あらやだうちはみんな水牛のリンクステーション。
エロ同人もxvideosも圧縮でみんな固められたら困る。

16 ::2021/04/27(火) 13:49:55.00 ID:oFkbpQE40.net

ネットギアなんでセーフ

53 ::2021/04/27(火) 15:45:22.32 ID:4efa0w1v0.net

マジで?ファームアップするか

58 ::2021/04/27(火) 18:13:52.24 ID:edC05sWu0.net

buffaloのwindows storage server動いてるから大丈夫だわ

12 ::2021/04/27(火) 13:43:11.18 ID:3UYIRiW50.net

ラズパイ茄子が最強だとまた証明されてしまった

26 ::2021/04/27(火) 14:04:50.47 ID:/JSHUQfh0.net

Malware Removerって懐かしいな

25 ::2021/04/27(火) 14:02:46.42 ID:j4DgEBEU0.net

logの位置まで真似したら狙われて終わるんじゃないかな、、、

25 ::2021/04/27(火) 14:02:46.42 ID:j4DgEBEU0.net

logの位置まで真似したら狙われて終わるんじゃないかな、、、

42 ::2021/04/27(火) 14:47:47.92 ID:DP+HiVTx0.net

OneDriveに児ぽる置いたら通報された例が

48 ::2021/04/27(火) 15:33:24.04 ID:HaznMgpo0.net

>>21
特定機器で宅鯖を外部公開してたらウイルス仕込まれて中身を人質にされた

6 ::2021/04/27(火) 13:40:21.20 ID:S1Z8kmTX0.net

パナップの空にナス(ちんぽ)入れるって?

2 ::2021/04/27(火) 13:35:17.74 ID:85l2NYvC0.net

>>1
【静音・高機能NAS】QNAP part56【自宅サーバ】
https://mevius.5ch.net/test/read.cgi/hard/1619074725/

46 ::2021/04/27(火) 15:15:57.39 ID:iC3j64I10.net

もう一つ買う

14 ::2021/04/27(火) 13:44:47.48 ID:C5+7eLqY0.net

ν速情報遅いな

44 ::2021/04/27(火) 15:13:13.66 ID:5WX31LSV0.net

>>32
QNAPはインターネットにつないで
プライベートクラウドとして使うのが売りのひとつだった
結構ヤバい問題になりそう

17 ::2021/04/27(火) 13:50:02.51 ID:x6WfJZAD0.net

>>9
おれもだ
ついでに客先にも設置したから行ってこなきゃ

13 ::2021/04/27(火) 13:44:04.09 ID:luK3BjHT0.net

>>11
ワロタ

37 ::2021/04/27(火) 14:30:05.41 ID:6QEk4JIb0.net

堅牢なバッファロー製を使ってるからセーフ

43 ::2021/04/27(火) 15:09:35.49 ID:sQO3Y/v+0.net

普通ネットギア使うよね

45 ::2021/04/27(火) 15:15:01.08 ID:E/nNQoJB0.net

NASのバックアップってどうするのがええのん

27 ::2021/04/27(火) 14:07:57.12 ID:x6WfJZAD0.net

>>19
物持ちいいなw

35 ::2021/04/27(火) 14:24:06.45 ID:8wdZEG0U0.net

近親相姦 パイパンの姉と生姦セックス三昧.wmv
(ロリ動画)[中学生無修正] 中学1年生 みな子 近親相姦かな?超レア.mpg
(洋炉)ロリータ・パイパン・レズもの。オススメ.mpg

51 ::2021/04/27(火) 15:44:04.77 ID:hO1G2elo0.net

FANZA契約してから電源offだったわ

36 ::2021/04/27(火) 14:24:50.42 ID:MnJtAGn50.net

>>19
令和になってもこれを見る事になるとは

23 ::2021/04/27(火) 14:01:56.45 ID:pm0whL/g0.net

お医者さんが健康のため積極的に食べている物は? (複数回答)

1位 トマト 658票
2位 ヨーグルト 596票
3位 納豆 578票
4位 ブロッコリー 514票
5位 りんご 502票
6位 青魚 485票
7位 しいたけ 439票
8位 大豆 396票
9位 のり 392票
10位 わかめ 380票

https://prtimes.jp/main/html/rd/amp/p/000000030.000010134.html

3 ::2021/04/27(火) 13:36:49.90 ID:dbRVjjxb0.net

呼んだか?Fラン私学卒自民党よ

24 ::2021/04/27(火) 14:02:36.13 ID:QamSHf5n0.net

ポートはデフォルトから変えてるから大丈夫かな
ファームウェアも先日最新にしたし
ヨシッ!

4 ::2021/04/27(火) 13:38:09.28 ID:YoiQflsi0.net

仕事場で使っているが2ヶ月前にファームウェアアップデートして酷い目に遭ったよ

64 :ボックス :2021/04/29(木) 12:18:18.50 ID:sncc8Sce0.net

>>1
やたらadmin狙ったログイン失敗が、
メールで飛んでくるもんな
ポート番号変えたら止まったけど。