El ransonware es quizás una de las principales amenazas a las que hacen frente las grandes empresas y las instituciones públicas. Así lo demuestran casos como el ataque sufrido por el SEPE el pasado mes de marzo del que aun no se ha repuesto.
Los ciberdelincuentes se han fijado esta vez en QNAP. Desde el 19 de abril se está produciendo un ataque a equipos de esta marca, encriptando los archivos bajo un archivo 7-zip con contraseña.
Qlocker, el ransomware que ataca a los NAS QNAP. Mientras el ataque está en progreso, el administrador de recursos del NAS de QNAP muestra numerosas instancias de 7-zip (7z) ejecutándose desde la línea de comando.
Cuando el ransomware finaliza su procedimiento, los archivos del dispositivo QNAP se almacenan en archivos 7-zip protegidos por contraseña con la extensión .7z . Para extraer estos archivos, las víctimas deben ingresar una contraseña conocida sólo por el atacante.
Después de cifrar los dispositivos QNAP, los usuarios reciben una nota de rescate llamada » !!! READ_ME.txt » que incluye una clave de cliente única que las víctimas deben ingresar para acceder al sitio de pago Tor del ransomware. A todas las víctimas se les pide que paguen 0,01 Bitcoin , el equivalente a unos 450€ , para obtener la contraseña necesaria para liberar sus datos.
Recomendaciones a seguir contra Qlocker
QNAP está trabajando sin descanso para contrarrestar esta vulnerabilidad. Qlocker aprovecha la vulnerabilidad CVE-2021-28799 para ejecutar el ransomware en dispositivos vulnerables.
Para evitar infectarte con Qlocker te recomendamos que sigas estos pasos
Actualizar la contraseña por una más segura. Ya sabes, mayúsculas, minúsculas, números y símbolos
Actualiza a la última versión disponible las aplicaciones Multimedia Console, Media Streaming Add-on, e Hybrid Backup Sync
Deshabilita el usuario «admin»
Instala la última versión de Malware Remover y ejecútalo
Si estás infectado NO APGUES EL NAS
Cambia los puertos por defecto
Desactiva el redireccionamiento automático de puertos UpNP
Abre sólo los puertos estrictamente necesarios y a ser posible utiliza la VPN del NAS para acceder desde el exterior
Usa backups con instantáneas porque se hacen a nivel de bloque y no de archivo
Cómo saber si nuestro equipo está infectado y qué hacer si lo estamos
Si tienes la mala suerte de haber sido infectado por Qlocker, o no sabes si lo estás, NO APGUES EL EQUIPO y sigue estos pasos:
Método 1
Conéctate al NAS por SSH como administrador
Para entrar por consola sin el asistente presiona «Q» y posteriormente «Y»
Si no hemos reiniciado el NAS ejecuta el comando «ps | grep 7z» para ver si todavía se está ejecutando el proceso de cifrado para poder obtener la clave de cifrado. Si no hay ningún proceso es porque ya ha terminado y no podemos recuperar la clave
Si el 7z está funcionando actualmente, debemos ejecutar el comando siguiente: cd /usr/local/sbin; printf ‘#!/bin/sh necho $@necho $@>>/mnt/HDA_ROOT/7z.lognsleep 60000’ > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
Una vez ejecutado, esperamos unos minutos y ejecutamos el siguiente comando: cat /mnt/HDA_ROOT/7z.log
En este log podremos ver un contenido similar a este: a -mx=0 -sdel -pmFyjsueTHARnjwi738dh629MAKXueT31
Lo que está en negrita es la clave y la ruta. Si no sabes cómo proceder con ella escribe a soporte de QNAP con toda esta información
Reinicia el NAS y utiliza la clave para liberar el NAS
Método 2
Instalamos o actualizamos el programa Malware Remover y lo ejecutamos
Al igual que en el método 1 accedemos por SSH al NAS como administrador y pinchamos «Q» e «Y»
Si el comando nos devuelve un mensaje «No such file or directory» significa que no podemos hacer nada, el NAS se ha reiniciado o ya ha terminado el proceso de cifrado de los datos.
Si no devuelve error, ejecutamos: cat /share/Public/7z.log. Y nos saldrá la clave en el mismo formato de antes: a -mx=0 -sdel -pmFyjsueTHARnjwi738dh629MAKXueT31 [RUTA]
Pasos 7 y 8 del método 1
Recuperar la contraseña del cifrado
Conéctate por SSH al Nas
Utiliza el comando: ps | grep 7z
Si se está ejecutando 7z, usa el comando: cd /usr/local/sbin; printf ‘#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000’ > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
Espera unos minutos
cat /mnt/HDA_ROOT/7z.log
aquí está el contraseña que han usado para cifrar los ficheros: a -mx = 0 -sdel -pmFyjsueTHARnjwi738dh629MAKXueT31
Abr 27 2021
Qlocker el ransomware contra el que QNAP está luchando
El ransonware es quizás una de las principales amenazas a las que hacen frente las grandes empresas y las instituciones públicas. Así lo demuestran casos como el ataque sufrido por el SEPE el pasado mes de marzo del que aun no se ha repuesto.
En NASeros ya os hemos hablado varias veces del ransomware, como en este articulo de Yago Jesus.
Los ciberdelincuentes se han fijado esta vez en QNAP. Desde el 19 de abril se está produciendo un ataque a equipos de esta marca, encriptando los archivos bajo un archivo 7-zip con contraseña.
Qlocker, el ransomware que ataca a los NAS QNAP. Mientras el ataque está en progreso, el administrador de recursos del NAS de QNAP muestra numerosas instancias de 7-zip (7z) ejecutándose desde la línea de comando.
Cuando el ransomware finaliza su procedimiento, los archivos del dispositivo QNAP se almacenan en archivos 7-zip protegidos por contraseña con la extensión .7z . Para extraer estos archivos, las víctimas deben ingresar una contraseña conocida sólo por el atacante.
Después de cifrar los dispositivos QNAP, los usuarios reciben una nota de rescate llamada » !!! READ_ME.txt » que incluye una clave de cliente única que las víctimas deben ingresar para acceder al sitio de pago Tor del ransomware. A todas las víctimas se les pide que paguen 0,01 Bitcoin , el equivalente a unos 450€ , para obtener la contraseña necesaria para liberar sus datos.
Recomendaciones a seguir contra Qlocker
QNAP está trabajando sin descanso para contrarrestar esta vulnerabilidad. Qlocker aprovecha la vulnerabilidad CVE-2021-28799 para ejecutar el ransomware en dispositivos vulnerables.
Para evitar infectarte con Qlocker te recomendamos que sigas estos pasos
Cómo saber si nuestro equipo está infectado y qué hacer si lo estamos
Si tienes la mala suerte de haber sido infectado por Qlocker, o no sabes si lo estás, NO APGUES EL EQUIPO y sigue estos pasos:
Método 1
Método 2
Recuperar la contraseña del cifrado
By Carlos Castillo • NOTICIAS FLASH