Vor kurzem hat eine riesige Ransomware-Kampagne stattgefunden, die darauf abzielt, die Daten von Benutzern zu verschlüsseln, die Geräte der Marke QNAP verwenden.

​

Angreifer verwenden Malware, ein Skript oder einfach 7-zip, um Dateien zu verschlüsseln oder Daten in passwortgeschützten Archiven zu komprimieren.

​

​

​

​

​

​

​

​

​

​

Ransomware, die QNAP-Benutzer ungefähr seit dem 1. April letzten Jahres terrorisiert, wird als Deadbolt, Qlocker, eCh0raix identifiziert. Qlocker.

Zum Beispiel, wie Kollegen von erklärtenComputer piepst, wäre die Ransomware in der Lage, 7-zip zu verwenden, um alle Benutzerdaten in komprimierte und passwortgeschützte Archive zu verschieben.

​

Während der Angriff einer dieser Malware im Gange ist, zeigt der Ressourcenmanager des QNAP NAS mehrere Instanzen einer zufälligen Anzahl von Skripten/Programmen oder Instanzen von 7-zip (7z) an, die von der Befehlszeile ausgeführt werden.

​

​

​

 

 

 

 

 

 

 

 

 

 

 

 

​

​

 

Wenn die Qlocker-Ransomware ihren Vorgang beendet, werden QNAP-Gerätedateien in passwortgeschützten 7-Zip-Archiven mit der Erweiterung .7z gespeichert. Um diese Archive zu extrahieren, müssen die Opfer ein Passwort eingeben.

​

​

​

​

​

​

 

 

 

 

 

 

 

 

 

Wenn die Deadbolt-Ransomware ihren Prozess beendet, sind QNAP-Gerätedateien nicht lesbar und das Suffix .deadbolt wird ihrer Erweiterung hinzugefügt. Die Homepage des NAS wird ebenfalls geändert, wie im Bild unten gezeigt.

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

 

Wenn die eCh0raix-Ransomware ihren Prozess beendet, sind die QNAP-Gerätedateien nicht lesbar und das Suffix .encrypted wird ihrer Erweiterung hinzugefügt. Die Homepage des NAS wird jedoch nicht geändert.

​

​

QNAP hat kürzlich einige kritische Schwachstellen behoben, die es Angreifern ermöglichen könnten, vollen Zugriff auf ein Gerät zu erlangen und Ransomware auszuführen. QNAP hat diese beiden genannten Schwachstellen behobenCVE-2020-2509e CVE-2020-36195am 16.04.

​

QNAP beantwortete Fragen von Experten, denen zufolge Deadbolt/Qlocker möglicherweise die Schwachstelle C von auf dem NAS installierten Anwendungen ausnutzt, um Ransomware auf anfälligen Geräten auszuführen. Es wird daher dringend empfohlen, QTS, Multimedia Console und Media Streaming Add-on sowie alle anderen Apps auf die neuesten Versionen zu aktualisieren.

​

Dies wird Ihre Dateien natürlich nicht zurückbringen, aber es wird Sie vor zukünftigen Angriffen schützen, die diese Schwachstelle nutzen.

​

​​​​​​

 

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

 

Wiederherstellungsprozess eines infizierten und verschlüsselten QNAP NAS

​​

 

Häufige Fragen:

​

Was wird nach der Infektion empfohlen?? 

​

Es ist ratsam, das infizierte NAS vom Netzwerk zu trennen und sofort einen Experten für spezialisierten technischen Support zu kontaktieren. Es ist auch wichtig, die Quelle der Infektion zu verstehen, da das Betriebssystem des Geräts nicht beschädigt istaber es gibt sehr wahrscheinlich eine versteckte Hintertür oder ein Rootkit im System.

 

Das Ausprobieren „herkömmlicher“ Wiederherstellungstechniken, Firmware-Upgrades oder irgendetwas anderem wird die ohnehin geringe Wahrscheinlichkeit, alle Ihre Dateien wiederherzustellen, nur noch weiter gefährden.

​​

​

​​​​​​​​​​​​​​​Mein NAS-Passwort war sehr sicher, wie haben sie es gefunden? 

​

Leider gibt es selbst bei einem Passwort mit 20 zufälligen Zeichen, das normalerweise sehr sicher ist, keinen wirksamen Schutz, da Exploits in der auf dem NAS installierten Software verwendet werden, wodurch das Passwort effektiv umgangen werden kann.

​

​

Das Administratorkonto auf dem NAS wurde deaktiviert, was ist passiert? 

​

Häufig wird das „admin“-Konto aus Sicherheitsgründen deaktiviert, obwohl der gesamte Verschlüsselungsprozess von diesem Konto aus stattgefunden hat, wie war das möglich?

All dies geschieht durch eine "Privilegieneskalation", d.h. Sie verbinden sich über einen "normalen" Benutzer, die Rechte dieses Benutzers werden erhöht, der wiederum das Administratorkonto erstellt oder reaktiviert, jedoch immer vorhanden, möglicherweise unter einem anderen Benutzernamen, mit dem Sie sich verbinden später, um die Verschlüsselung durchzuführen.  

​

​​

Was kann ich also tun, um mich vor zukünftigen Deadbolt/QLOCKER/eCh0raix-Angriffen zu schützen?​

​

Die zwei Ratschläge, die wir unseren Kunden geben, um sich vor einer Infektion zu schützen, lauten:​

- NAS und installierte Anwendungen ständig und umgehend aktualisieren 

- Installieren Sie unser Ransomware-Schutzskript, mehr info HIER

​​​

​

​

Wie entschlüsselt man mit ECHORAIX/DEADBOLT/QLOCKER 7Z verschlüsselte Dateien? 

Können Sie meine Daten wiederherstellen?

​

Ja, für einige Versionen dieser Malware können wir alle Ihre Dateien wiederherstellen!! 

​

Schreiben Sie uns eine E-Mail aninfo@recuperafiles.it oder ad dringend@eliminacryptolocker.com  kleine verschlüsselte Dateien und Ihre Mobiltelefonnummer anhängen;

 

Wir werden uns so schnell wie möglich mit Ihnen in Verbindung setzen!.

​

​

​