Qlocker el ransomware contra el que QNAP está luchando

El  ransonware es quizás  una de las principales amenazas a las que hacen frente las grandes empresas y las instituciones públicas. Así lo demuestran casos como el ataque sufrido por el SEPE el pasado mes de marzo del que aun no se ha repuesto.

En NASeros ya os hemos hablado varias veces del ransomware, como en este articulo de Yago Jesus.

Los ciberdelincuentes se han fijado esta vez  en QNAP. Desde el 19 de abril se está produciendo un ataque a equipos de esta marca, encriptando los archivos bajo un archivo 7-zip con contraseña.

Qlocker, el ransomware que ataca a los NAS QNAP. Mientras el ataque está en progreso, el administrador de recursos del NAS de QNAP muestra numerosas instancias de 7-zip (7z) ejecutándose desde la línea de comando.

Cuando el ransomware finaliza su procedimiento, los archivos del dispositivo QNAP se almacenan en archivos 7-zip protegidos por contraseña con la extensión .7z . Para extraer estos archivos, las víctimas deben ingresar una contraseña conocida sólo por el atacante.

Qlock QNAP ransomware

Después de cifrar los dispositivos QNAP, los usuarios reciben una nota de rescate llamada ” !!! READ_ME.txt ” que incluye una clave de cliente única que las víctimas deben ingresar para acceder al sitio de pago Tor del ransomware. A todas las víctimas se les pide que paguen 0,01 Bitcoin , el equivalente a unos 450€ , para obtener la contraseña necesaria para liberar sus datos.

Recomendaciones a seguir contra Qlocker

QNAP está trabajando sin descanso para contrarrestar esta vulnerabilidad. Qlocker aprovecha la vulnerabilidad CVE-2021-28799 para ejecutar el ransomware en dispositivos vulnerables.

Para evitar infectarte con Qlocker te recomendamos que sigas estos pasos

  • Actualizar la contraseña por una más segura. Ya sabes, mayúsculas, minúsculas, números y símbolos
  • Actualiza  a la última versión disponible las aplicaciones Multimedia Console, Media Streaming Add-on, e Hybrid Backup Sync
  • Deshabilita el usuario “admin”
  • Instala la última versión de Malware Remover y ejecútalo
  • Si estás infectado NO APGUES EL NAS
  • Cambia los puertos por defecto
  • Desactiva el redireccionamiento automático de puertos UpNP
  • Abre sólo los puertos estrictamente necesarios y a ser posible utiliza la VPN del NAS para acceder desde el exterior
  • Usa backups con instantáneas porque se hacen a nivel de bloque y no de archivo
  • Realiza backups deslocalizados usando la regla 3-2-1

Cómo saber si nuestro equipo está infectado y qué hacer si lo estamos

Si tienes la mala suerte de haber sido infectado por Qlocker, o no sabes si lo estás, NO APGUES EL EQUIPO  y sigue estos pasos:

Método 1

  1. Conéctate  al NAS por SSH como administrador
  2. Para entrar por consola sin el asistente presiona «Q» y posteriormente «Y»
  3. Si no hemos reiniciado el NAS ejecuta el comando «ps | grep 7z» para ver si todavía se está ejecutando el proceso de cifrado para poder obtener la clave de cifrado. Si no hay ningún proceso es porque ya ha terminado y no podemos recuperar la clave
  4. Si el 7z está funcionando actualmente, debemos ejecutar el comando siguiente: cd /usr/local/sbin; printf ‘#!/bin/sh necho $@necho $@>>/mnt/HDA_ROOT/7z.lognsleep 60000’ > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
  5. Una vez ejecutado, esperamos unos minutos y ejecutamos el siguiente comando: cat /mnt/HDA_ROOT/7z.log
  6. En este log podremos ver un contenido similar a este: a -mx=0 -sdel -pmFyjsueTHARnjwi738dh629MAKXueT31
  7. Lo que está en negrita es la clave y la ruta. Si no sabes cómo proceder con ella escribe a soporte de QNAP con toda esta información
  8. Reinicia el NAS y utiliza la clave para liberar el NAS

Método 2

  1. Instalamos o actualizamos el programa Malware Remover y lo ejecutamos
  2. Al igual que en el método 1 accedemos por SSH al NAS como administrador y pinchamos «Q» e «Y»
  3. Ejecutamos el siguiente comando: cp `getcfg MalwareRemover Install_Path -f /etc/config/qpkg.conf`/7z.log /share/Public
  4. Si el comando nos devuelve un mensaje  «No such file or directory» significa que no podemos hacer nada, el NAS se ha reiniciado o ya ha terminado el proceso de cifrado de los datos.
  5. Si no devuelve error, ejecutamos: cat /share/Public/7z.log. Y nos saldrá la clave en el mismo formato de antes: a -mx=0 -sdel -pmFyjsueTHARnjwi738dh629MAKXueT31 [RUTA]
  6. Pasos 7 y 8 del método 1

Recuperar la contraseña del cifrado

  1. Conéctate por SSH al Nas
  2. Utiliza el comando: ps | grep 7z
  3. Si se está ejecutando 7z, usa el comando: cd /usr/local/sbin; printf ‘#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000’ > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
  4. Espera unos minutos
  5. cat /mnt/HDA_ROOT/7z.log
  6. aquí está el contraseña que han usado para cifrar los ficheros: a -mx = 0 -sdel -pmFyjsueTHARnjwi738dh629MAKXueT31
  7. Pasos 7 y 8 del método 1