Cosa è successo al mio NAS?

E' un modello QNAP?

Da quanto non è stato aggiornato?

Posso recuperare i miei Files?

Recentemente è in atto un’enorme campagna ransomware che ha come obiettivo quello di crittografare i dati degli utenti che utilizzano dispositivi a marchio QNAP.

Gli aggressori utilizzano 7-zip per la compressione dei dati in archivi protetti da password.

 

 

 

 

 

 

Il ransomware che sta terrorizzando gli utenti QNAP sin dal 19 aprile scorso viene identificato con il nome di Qlocker. Secondo quanto spiegato dai colleghi di BleepingComputer, il ransomware sarebbe in grado di utilizzare 7-zip per spostare tutti i dati degli utenti all’interno di archivi compressi e protetti da password.

Mentre l’attacco è in corso, il gestore delle risorse dei NAS QNAP mostra numerose istanze di 7-zip (7z) in esecuzione da riga di comando.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Quando il ransomware termina la propria procedura, i file del dispositivo QNAP sono memorizzati in archivi 7-zip protetti da password dall’estensione .7z. Per estrarre questi archivi, le vittime devono inserire una password.

 

 

 

 

 

 

 

 

 

 

 

Recentemente QNAP ha risolto alcune vulnerabilità critiche che potrebbero consentire agli aggressori di ottenere l’accesso completo a un dispositivo ed eseguire un ransomware. QNAP ha risolto queste due vulnerabilità chiamate CVE-2020-2509CVE-2020-36195 il 16 aprile.

QNAP ha risposto alle domande di BleepingComputer affermando che è possibile che Qlocker sfrutti la vulnerabilità CVE-2020-36195 per eseguire il ransomware sui dispositivi vulnerabili. È dunque fortemente raccomandato l’aggiornamento di QTS, Multimedia Console e Media Streaming Add-on alle ultime versioni.

Questo ovviamente non riporterà indietro i vostri file ma vi proteggerà da futuri attacchi che utilizzano tale vulnerabilità.

​​​​​

 

Domande frequenti:

Cosa è consigliato fare a seguito dell'infezione?? 

E' consigliato scollegare dalla rete il nas infettato e contattare immediatamente un esperto per scoprire l'origine dell'infezione. Solitamente non viene danneggiato il sistema operativo ma è molto probabile la presenza di backdoor o rootkit nascoste all'interno del sistema. Provare tecniche di recupero "tradizionali" o altro metterà solamente ancora di più a rischio la probabilità, già bassa, di recuperare tutti i documenti.

​​​​​​​​​​​​​​​La mia password del NAS era molto sicura, come hanno fatto a trovarla? 

Purtroppo anche con una password di 20 caratteri casuali, tipicamente molto sicura, non c'è nessuna protezione efficace in quanto vengono utilizzati degli exploit sulla porta RDP, permettendo di fatto un bypass della password.

L'account administrator sul NAS era disattivato, cosa è successo? 

Spesso l'account "administrator" viene disattivato per motivi di sicurezza, eppure tutto il processo di criptazione è avvenuto da quell'account, come è stato possibile?

Il tutto avviene tramite una "escalation di privilegi", ovvero ci si connette tramite un utente "normale", vengono alzati i privilegi di questo utente il quale a sua volta crea o riattiva l'account di administrator, al quale ci si connetterà in seguito per eseguire la criptazione.  

Quindi cosa posso fare per proteggermi da futuri attacchi di QLOCKER?​

I due consigli che diamo ai nostri clienti per proteggersi da eventuali infezioni sono:​

- chiudere immediatamente e su tutte le macchine locali e remote il servizio RDP 

- installare il nostro script di protezione contro i ransomware, maggiori info QUI

Dove sono finiti i miei backup? E le macchine virtuali?​

A seguito dell'infezione da Dharma vengono cancellati i files .backup e spesso anche eventuali macchine virtuali (VMware, Oracle VM VirtualBox ecc.), le quali vengono avviate e poi cancellate o criptate.​

Come decriptare file cifrati da QCLOCKER 7Z? 

Potete recuperare i miei dati?

Si, per alcune versioni di qlocker possiamo recuperare tutti i tuoi files!! 

Scrivici un'email a info@eliminacryptolocker.com allegando dei files criptati ed il tuo numero di cellulare;

 

ti risponderemo il prima possibile!

 

 

Altri dubbi o necessiti di maggiori informazioni?​

 

Scrivici pure a info@recuperafiles.it e cercheremo di chiarire ogni tuo dubbio.

1.JPG
2.JPG
3.JPG

Elimina

Cryptolocker

Teslacrypt  

Phobos

GlobeImposter

 

 

FACILE, VELOCE, SICURO